Grave falla su Libreria XStream

Proto: N030521.

Con la presente, CERT-Yoroi desidera informarLa relativamente a una grave falla che affligge XStream, nota libreria Java EE adottata da vari framework Enterprise, tra i quali Apache Struts2, ed in soluzioni software quali Atlassian Confluence, Jenkins CI, Apache Muse. La criticità è nota con l’identificativo CVE-2021-29505. 

In particolare la vulnerabilità è dovuta a delle lacune nella validazione dei file XML prodotti dalla serializzazione degli oggetti denominati "JavaBean", i quali, nella fase di deserializzazione permettono ad un attaccante remoto privo di autenticazione di eseguire comandi arbitrari sulla macchina bersaglio. 

Figura. PoC per lo sfruttamento della vulnerabilità. 

Il Manutentore ha confermato tale vulnerabilità in un apposito bollettino di sicurezza dove ha indicato le che tutte le versioni di XStream fino alla 1.4.16 sono vulnerabili.  

Considerata la potenziale diffusione delle dipendenza software all'interno di soluzioni di terze parti, il rilascio di dettagli tecnici e di Proof-of-Concept atti a replicare tale falla e la loro potenziale esposizione in Internet, CERT-Yoroi consiglia caldamente di applicare le patch messe a disposizione dal Manutentore e di appurare lo stato di vulnerabilità con presso i Vendor che utilizzano la libreria XStream all’interno delle loro dipendenze software. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index