As empresas que fazem parte da lista Fortune 100 podem estar susceptíveis a ciberataques, considerando que foi descoberta uma vulnerabilidade em um software de servidor muito utilizado entre elas, segundo afirmaram os pesquisadores de segurança.
A falha permite que cibercriminosos executem código de forma remota em servidores que utilizam o complemento REST da Apache Struts. O relato dos especialistas também destaca que todas as versões desde 2008 foram afetadas.
Devido à vulnerabilidade, os cibercriminosos facilmente podem obter o controle de um servidor afetado que utilize o popular framework Java MVC, obtendo acesso a dados altamente confidenciais.
A estimativa é que o problema tenha afetado a 65% das empresas da lista Fortune 100, incluindo organizações como Citigroup, Vodafone, Virgin Atlantic e vários sites governamentais dos Estados Unidos, como o Internal Revenue Service (IRS) e o Departamento de veículos motorizados.
o problema afeta a 65% das empresas da lista Fortune 100
Segundo os pesquisadores, o risco é bastante alto porque o framework em questão é utilizado para projetar e construir aplicativos web de acesso público.
Um dos pesquisadores de segurança que descobriu a vulnerabilidade, Man Yue Mo, se deu conta da gravidade do problema: “Struts é utilizado em vários sistemas de reservas de companhias aéreas, assim como em várias instituições financeiras que o utilizam em aplicativos bancários na Internet. Além disso, é incrivelmente fácil para um cibercriminoso explorar esta falha: basta um navegador web”.
Na terça-feira, Struts lançou um patche completo garantindo que seria efetivo para corrigir a vulnerabilidade, e está orientando aos usuários para atualizarem à última versão (2.5.13) imediatamente. A empresa identificou este patche como crítico, considerando que a atualização se refere a um “possível ataque de execução remota de código quando o complemento Struts REST é utilizado com o controlador XStream para administrar cargas XML”.
Os pesquisadores desenvolveram um exploit, mas não o liberaram, com o objetivo de dar às empresas que usam o software tempo para patchear os sistemas. Atualmente, não se sabe se alguma empresa foi afetada pela vulnerabilidade, mas, naturalmente, se recomenda que os sistemas sejam atualizados o mais rápido possível.
Leia também: Ataques à vulnerabilidade do Apache Struts ocorrem no Brasil