Een ernstig beveiligingslek in Apache Struts, dezelfde software waardoor aanvallers bij kredietbeoordelaar Equifax de gegevens van 147 miljoen Amerikanen wisten te stelen, laat aanvallers op afstand systemen overnemen. Organisaties worden dan ook opgeroepen om de beschikbare update te installeren, aangezien de onderzoekers die de kwetsbaarheid ontdekten verwachten dat die binnenkort wordt aangevallen.

Struts is een populair opensourceframework voor het ontwikkelen van Java-webapplicaties. Tenminste 65 procent van de Fortune 100-bedrijven maakt gebruikt van webapplicaties die via Apache Struts gemaakt zijn. Eerder dit jaar verscheen er onderzoek dat veel organisaties kwetsbare versies van de software downloaden. "Struts-applicaties zijn vaak toegankelijk via internet, en in de meeste gevallen heeft een aanvaller geen bestaande privileges nodig om een Struts-applicatie aan te vallen. Wat het nog erger maakt is dat een aanvaller eenvoudig kan beoordelen of een applicatie kwetsbaar is", zo stelt softwarebedrijf Semmle dat de kwetsbaarheid ontdekte.

Het bedrijf ontdekte vorig jaar ook al een ernstig beveiligingslek in Struts, maar stelt dat deze kwetsbaarheid erger is. "Dit beveiligingslek raakt de meestgebruikte endpoints van Struts, die waarschijnlijk zijn blootgesteld via internet, waardoor een aanval mogelijk is. Daarnaast heeft de kwetsbaarheid te maken met de Struts OGNL-taal, waar hackers erg bekend mee zijn en in het verleden hebben aangevallen. Over het geheel genomen is deze kwetsbaarheid erger dan het Struts-lek dat Semmle vorig jaar september vond", aldus onderzoeker Man Yue Mo.

De onderzoeker informeerde het Apache Struts-team op 10 april van dit jaar over de kwetsbaarheid. Op 25 juni publiceerde het Struts-team de code-aanpassingen waarmee het beveiligingslek wordt verholpen. Vandaag zijn er twee nieuwe versies verschenen die de beveiligingsupdate voor de kwetsbaarheid bevatten. Beheerders krijgen het advies om te updaten naar Struts-versie 2.3.35 of 2.5.17.