中国黑客使用自动化工具来利用的Apache Struts的已知漏洞,才能在托管与框架开发的应用程序服务器上安装后门。
Apache的Struts是一个用于开发年代由Apache软件基金会维护的基于Java的Web应用程序的流行的开源框架。
几个安全更新发布对Struts今年以来,包括上个月,以解决高危险漏洞,可能允许远程攻击者可以运行与框架构建的应用程序的Web服务器上执行任意指令。
黑客们因为注意到了,目前正在积极开拓这些缺陷,根据来自安全公司趋势科技,谁发现了一个工具,对中国地下论坛的研究人员,对脆弱的Struts的版本能自动化的攻击。
该工具利用了以下Struts的漏洞妥协服务器:S2-016(CVE-2013年至2251年),这是在Struts的2.3.15.1补丁7月16日;S2-013(CVE-2013年至1966年),5月22日在Struts中2.3.14.1修补;S2-009(CVE-2011-3923),1月22日,2012年的Struts 2.3.1.2修补;和S2-005(CVE-2010至1870年),修补Struts中2.2.1 8月16日,2010年
三天最近的漏洞向公众披露后,林宪明,趋势科技高级威胁研究员周三表示,在攻击工具的存在被证实了7月19日博客文章。
“我们反对使用这个特定的黑客工具,这表明这些Struts的缺陷是由潜在威胁者在野外正在积极利用亚洲的目标观测攻击,”他说。
一旦黑客侵入使用Struts攻击工具基于Linux或基于Windows的服务器,他们可以为了对服务器的操作系统中提取信息,目录结构,活跃用户和网络配置进行预先配置命令。
该工具还允许攻击者植物作为一个后门,让他们持续访问服务器执行其他命令,并使用他们,因为他们认为合适的一个所谓的Web外壳,林说。
该工具安装在Web壳被称为JspWebShell和使用的JavaServer Pages(JSP)是编码。
网壳具有更强大的功能,很容易获得在黑客论坛,他们允许攻击者寻找和受损的服务器上窃取信息,研究人员说。
Struts的2.3.15.1,这是目前该框架的最安全的版本,去掉一些脆弱的功能,如“重定向”和“redirectAction:”在DefaultActionMapper类的前缀。在Struts开发人员警告说,升级到这个版本可能会破坏依赖这些功能的一些应用程序,并建议用固定的导航规则取代了退休的前缀。
强烈建议升级到最新版本,林说。“从成功的攻击的潜在风险大于修改任何应用程序部署的不便。”