Medidas de Seguridad de la Vulnerabilidad de Struts, nuevo Informe de Amenazas del CCN-CERT

  • El IA-09/17 está publicado en la parte pública del portal.
  • El exploit de esta vulnerabilidad, publicado el 8 de marzo de este año, ha afectado por el momento a más de 35 millones de equipos en Internet.
  • El CERT Gubernamental Nacional aconseja actualizar inmediatamente el Apache Struts a la versión 2.3.32 o 2.5.10.1 y llevar a cabo una serie de medidas recogidas en este Informe.

Después de emitir una alerta sobre la explotación masiva por diversos atacantes de la vulnerabilidad crítica de Apache Struts1, el CCN-CERT ha elaborado un Informe de Amenazas (IA-09/17) en el que recoge las principales medidas a adoptar. Comprobación de la vulnerabilidad en un servidor web, medidas paliativas, detección para el caso de haber sido víctima de un ataque y una serie de recomendaciones de seguridad son los apartados del citado informe en el que se insta a actualizar los sistemas lo antes posible.

El documento explica el modo de determinar si un servidor web está afectado por la citada vulnerabilidad y, en su caso, actualizar Apache Struts a la versión 2.3.32 o 2.5.10.1 y aplicar una serie de medidas en el firewall o en la configuración del desarrollo del aplicativo afectado.

En el caso de haber sido víctima de un ataque utilizando esta vulnerabilidad, se recomienda realizar una serie de acciones de revisión (uso del usuario root, la lista de usuarios, la configuración de iptables en el servidor, etc.) y, para prevenir futuros ataques, el CCN-CERT invita a mantener todos los sistemas actualizados, disponer de un sistema de copias de seguridad, limitar los privilegios de usuario y aplicar las medidas de seguridad indicadas en las diferentes Guías CCN-STIC para mantener un nivel de seguridad en los sistemas lo más alto posible.


1 Struts es una herramienta de soporte para el desarrollo de aplicaciones Web que sigue el patrón MVC (Modelo Vista Controlador) bajo la plataforma Java.

CCN-CERT (16/03/2017)

Acceso al Informe IA-09/17

Ministerio de Defensa
CNI
CCN
CCN-CERT