Vulnerabilità Critiche Apache Struts 2 CVE 2024 2025

Apache Struts 2, uno dei framework Java più utilizzati per lo sviluppo di applicazioni enterprise, è al centro di un nuovo allarme sicurezza che sta mettendo in apprensione amministratori di sistema e team di sicurezza di tutto il mondo. Due vulnerabilità critiche sono state recentemente scoperte, esponendo milioni di applicazioni web a gravi rischi che vanno dall’esecuzione remota di codice alla compromissione completa dei sistemi.

CVE-2025-68493: la minaccia XXE injection nel componente XWork

La prima vulnerabilità critica identificata come CVE-2025-68493 rappresenta un grave problema di XXE (XML External Entity) injection che colpisce il componente XWork di Apache Struts 2. Questa falla permette agli attaccanti di sfruttare diverse tecniche di attacco particolarmente pericolose:

• Lettura di file locali: gli attaccanti possono accedere a file sensibili del sistema operativo
• Server-Side Request Forgery (SSRF): possibilità di effettuare richieste verso servizi interni
• Denial of Service (DoS): sovraccarico delle risorse del server target

Quello che rende particolarmente insidiosa questa vulnerabilità è la sua ampia superficie d’attacco. Molte versioni di Struts 2 risultano colpite, incluse quelle legacy che molte organizzazioni utilizzano ancora nei loro sistemi di produzione. La natura dell’XXE injection permette agli attaccanti di manipolare il parsing XML per accedere a risorse che dovrebbero rimanere protette.

Impatto sulle versioni legacy

Le versioni legacy di Apache Struts 2 rappresentano un problema particolare per questa vulnerabilità. Molte aziende continuano a utilizzare versioni datate del framework per motivi di compatibilità o per evitare i costi di migrazione. Tuttavia, queste installazioni diventano ora obiettivi privilegiati per gli attaccanti che sfruttano CVE-2025-68493.

CVE-2024-53677: path traversal negli upload file

La seconda vulnerabilità critica, catalogata come CVE-2024-53677, riguarda una falla di path traversal nel meccanismo di upload dei file di Apache Struts 2. Questa vulnerabilità apre le porte a scenari di attacco ancora più devastanti:

• Upload di file malevoli: possibilità di caricare script dannosi sul server
• Esecuzione remota di codice (RCE): controllo completo del sistema target
• Bypass delle restrizioni di sicurezza: aggiramento dei controlli sui tipi di file

Il path traversal permette agli attaccanti di manipolare i percorsi dei file caricati, posizionando contenuti malevoli in directory sensibili del sistema. Una volta caricato un file dannoso, l’attaccante può potenzialmente eseguire codice arbitrario sul server, compromettendo completamente l’infrastruttura.

Versioni interessate e superficie d’attacco

CVE-2024-53677 colpisce un range estremamente ampio di versioni, dalla 2.0.0 alla 6.3.0.2. Questa vastità rende la vulnerabilità particolarmente preoccupante, considerando che copre praticamente l’intera storia evolutiva del framework. Per alcune versioni mancano ancora patch ufficiali, lasciando molte organizzazioni in una situazione di vulnerabilità prolungata.

Allerta globale e attacchi attivi

La gravità di queste vulnerabilità ha spinto enti di sicurezza internazionali a emettere allerte urgenti. Il CSA Singapore e il CSIRT Toscana hanno entrambi segnalato attacchi attivi che sfruttano queste falle, confermando che non si tratta di minacce teoriche ma di rischi concreti e immediati.

Gli attacchi osservati mostrano un alto grado di sofisticazione, con tecniche che combinano l’exploitation delle due vulnerabilità per massimizzare l’impatto. I criminali informatici stanno utilizzando scanner automatizzati per identificare istanze vulnerabili di Apache Struts 2, seguiti da attacchi mirati per compromettere i sistemi identificati.

Settori più a rischio

Le organizzazioni più esposte includono:

• Istituti finanziari con applicazioni legacy
• Aziende di e-commerce con piattaforme basate su Struts 2
• Enti governativi con sistemi informativi datati
• Grandi corporation con infrastrutture complesse

Soluzioni e mitigazioni immediate

Di fronte a questa emergenza sicurezza, le organizzazioni devono agire con la massima urgenza implementando le seguenti contromisure:

Aggiornamenti ufficiali

Per CVE-2025-68493, la soluzione raccomandata è l’aggiornamento immediato a Struts 6.1.1 o versioni superiori. Queste release includono le patch necessarie per neutralizzare la vulnerabilità XXE injection.

Per CVE-2024-53677, la situazione è più complessa a causa dell’ampio range di versioni coinvolte. Le opzioni includono:

• Aggiornamento alle versioni più recenti che incorporano il nuovo ActionFileUploadInterceptor
• Implementazione di workaround manuali per le versioni senza patch ufficiali
• Configurazioni di sicurezza aggiuntive per limitare l’esposizione

Misure di mitigazione temporanee

Mentre si procede con gli aggiornamenti, è fondamentale implementare misure di protezione immediate:

• Disabilitazione temporanea delle funzionalità di upload file non essenziali
• Implementazione di Web Application Firewall (WAF) con regole specifiche
• Monitoraggio intensivo dei log per rilevare tentativi di exploit
• Segregazione delle applicazioni Struts 2 in segmenti di rete isolati

Piano d’azione per la remediation

Un approccio strutturato alla remediation dovrebbe includere le seguenti fasi:

Fase 1: Inventario e assessment

Identificare tutte le istanze di Apache Struts 2 nell’infrastruttura, catalogando versioni e criticità delle applicazioni. Questo inventario deve includere anche sistemi di test e sviluppo che potrebbero essere utilizzati come vettore d’attacco.

Fase 2: Prioritizzazione

Classificare i sistemi in base al rischio, dando priorità a quelli esposti su internet e che gestiscono dati sensibili. Le applicazioni critiche per il business devono essere aggiornate per prime.

Fase 3: Implementazione delle patch

Procedere con l’applicazione delle patch seguendo un approccio controllato, testando prima in ambienti non produttivi e pianificando finestre di manutenzione appropriate.

Fase 4: Verifica e monitoraggio

Dopo l’applicazione delle patch, verificare l’efficacia delle correzioni e implementare monitoraggio continuo per rilevare eventuali tentativi di exploit residui.

Le vulnerabilità CVE-2025-68493 e CVE-2024-53677 rappresentano una minaccia seria e immediata per tutte le organizzazioni che utilizzano Apache Struts 2. La presenza di attacchi attivi documentati rende l’intervento non più procrastinabile. Solo attraverso un’azione rapida e coordinata, che includa aggiornamenti immediati e misure di mitigazione appropriate, sarà possibile proteggere le infrastrutture critiche da questa ondata di attacchi. Il tempo è un fattore cruciale: ogni giorno di ritardo aumenta esponenzialmente il rischio di compromissione.