Med hjälp av ett nyligen upptäckt säkerhetshål i Apache Struts 2 kan hackare enkelt smyga skadlig kod rakt in i storföretagens nätverk, varnar säkerhetsföretaget LGTM.
Struts är ett vanligt förekommande ramverk med öppen källkod som används för att bygga webbapplikationer i Java. Åtminstone två tredjedelar av USA:s största bolag använder ramverket, enligt analysfirman Redmonk. Det handlar om allt från flygjättarnas bokningssystem till storbankernas internetbanker.
Alla webbapplikationer som nyttjar ramverkets populära plugin Rest är öppna för attacker. Sårbarheten gör det möjligt att lura en server som kör en sådan applikation att köra annan kod från vilken källa som helst.
Läs också: Lenovo tvingas till miljonböter för Superfish-skandalen
– Om servern innehåller kunddata eller användardata är det inte svårt alls att samla in den informationen och flytta den någon annanstans, säger Bas van Schaik på säkerhetsföretaget Semmle, vars mjukvara användes för att upptäckta buggen, till ZDNet.
Experterna som upptäckte sårbarheten har lyckats utnyttja den, men inte berättat exakt hur. De känner inte heller till att några hackare använt sig av sårbarheten, men varnar de för att det är hög tid att uppdatera nu när nyheten är ute.
Apache har under veckan släppt en uppdatering, Struts 2.5.13, som täpper till säkerhetshålet (CVE 2017-9805).
