Ayer se publicó un exploit para la vulnerabilidad etiquetada cómo CVE-2017-5638 de Apache Struts2. Bastante crítica ya que, gracias a este exploit, podemos pasar a ejecutar comandos en la máquina donde resida la aplicación, sin importar lo que haya en medio. Así que hay que intentar parchearlo lo antes posible. Las acciones a tomar serían actualizar las librerias de Struts  y si disponemos de algún WAF, IDS o algun sistema de protección en medio, poner las firmas necesarias que paren el ataque.

En caso de no disponer de ninguna de estas y no poder actualizar las librerias de forma rápida, existe una solución rápida que podemos utilizar hasta que implantemos la definitiva.

Para ello, si tenemos una arquitectura en la que haya un apache delante del servidor de aplicaciones, podemos poner en este un filtrado que modifique la cabecera de las peticiones (donde reside el payload del exploit) y sustituya partes fundamentales de este código maligno.  Para ello, con el uso del mod_header y la siguiente línea:


RequestHeader edit Content-Type "ognl" "text/html;charset=UTF-8"

podemos parar inmediatamente el ataque sin afectar a peticiones legitimas.

Fuente: http://www.hackplayers.com/2017/03/exploit-rce-para-apache-struts-cve-2017-5638.html

«