黑客利用Apache Struts漏洞攻擊企業(yè)Web服務(wù)器,遠(yuǎn)程控制軟件,灰鴿子下載

admin

黑客利用Apache Struts漏洞攻擊企業(yè)Web服務(wù)器,遠(yuǎn)程控制軟件,灰鴿子下載
該漏洞允許攻擊者在沒有身份驗(yàn)證的服務(wù)器上執(zhí)行惡意代碼

攻擊者正在廣泛利用Apache Struts中最近修補(bǔ)的漏洞，允許他們?cè)赪eb服務(wù)器上遠(yuǎn)程執(zhí)行惡意代碼。

Apache Struts是一個(gè)用于Java Web應(yīng)用程序的開源Web開發(fā)框架。它廣泛用于在教育，政府，金融服務(wù)，零售和媒體等行業(yè)建立企業(yè)網(wǎng)站。

周一，Apache Struts開發(fā)人員在框架的Jakarta Multipart解析器中修復(fù)了一個(gè)高影響力的漏洞。幾個(gè)小時(shí)后，一個(gè)漏洞的漏洞出現(xiàn)在中文網(wǎng)站上，這幾乎是立即后面的真實(shí)世界的攻擊，根據(jù)Cisco Systems的研究人員。

該漏洞很容易被利用，并允許攻擊者使用運(yùn)行Web服務(wù)器進(jìn)程的用戶的權(quán)限執(zhí)行系統(tǒng)命令。如果Web服務(wù)器配置為以root身份運(yùn)行，則系統(tǒng)完全受到攻擊，但作為較低權(quán)限的用戶執(zhí)行代碼也是嚴(yán)重的安全威脅。

更糟的是，Java Web應(yīng)用程序甚至不需要通過Jakarta Multipart解析器實(shí)現(xiàn)文件上傳功能，以便易受攻擊。根據(jù)Qualys的研究人員，這個(gè)組件在Web服務(wù)器上的簡(jiǎn)單存在（默認(rèn)情況下是Apache Struts框架的一部分）足以允許利用。

“不用說，我們認(rèn)為這是一個(gè)高優(yōu)先級(jí)的問題，成功攻擊的后果是可怕的，”Qualys的脆弱性實(shí)驗(yàn)室主任Amol Sarwate在一篇博客中說。

在其服務(wù)器上使用Apache Struts的公司應(yīng)該盡快將框架升級(jí)到版本2.3.32或2.5.10.1。

思科Talos的研究人員觀察到“大量的剝削事件”。其中一些只執(zhí)行Linux命令whoami來確定Web服務(wù)器用戶的權(quán)限，并且可能用于初始探測(cè)。其他人進(jìn)一步停止Linux防火墻，然后下載在服務(wù)器上執(zhí)行的ELF可執(zhí)行文件。

Talos的研究人員在一篇博客中說，“有效載荷多種多樣，包括一個(gè)IRC彈跳器，一個(gè)DoS機(jī)器人和一個(gè)與帳單門戶僵尸網(wǎng)絡(luò)相關(guān)的示例。

根據(jù)西班牙裝備Hack Players的研究人員，Google搜索顯示有3500萬個(gè)網(wǎng)絡(luò)應(yīng)用程序接受“filetype：action”上傳，其中很大一部分可能是易受攻擊的。

有些不尋常的是，在發(fā)現(xiàn)缺陷后，攻擊開始如此之快，目前還不清楚在星期一之前是否已經(jīng)在封閉的圈子中存在漏洞利用漏洞。

無法立即升級(jí)到修補(bǔ)的Struts版本的用戶可以應(yīng)用一個(gè)解決方法，其中包括為Content-Type創(chuàng)建一個(gè)Servlet過濾器，該過濾器將丟棄與multipart / form-data不匹配的任何請(qǐng)求。用于阻止這種請(qǐng)求的Web應(yīng)用程序防火墻規(guī)則也可從各種供應(yīng)商獲得。