攻击者广泛利用了Apache Struts的最近修补漏洞,允许他们到Web服务器上远程执行恶意代码。
Apache的Struts是用于Java Web应用程序的开源Web开发框架。它被广泛用于构建在行业企业的网站,包括教育,政府,金融服务,零售和媒体。
周一,在Apache Struts开发人员固定的高冲击脆弱性在框架的雅加达多部分解析器。几个小时后,一个利用了出现在中国语言网站的漏洞,这几乎是紧跟着现实世界的攻击,据来自思科系统公司的研究人员。
该漏洞很容易被利用并允许攻击者与运行Web服务器进程的用户的权限执行系统命令。如果Web服务器配置以root身份运行,该系统被完全破坏,但在执行的代码为较低特权用户也是一个严重的安全威胁。
更糟的是,Java Web应用程序甚至不需要通过雅加达多部分解析器来实现文件上传功能,以便存在漏洞。据研究人员科力斯,该组分,其是通过默认Apache Struts框架的一部分的Web服务器上的简单存在,也足以允许开发。
“不用说,我们认为这是一个高度优先的问题,并成功攻击的后果是可怕的,”阿莫尔Sarwate,Qualys公司漏洞实验室的主任,他说在博客文章。
谁是自己的服务器上使用Apache Struts的企业应尽快升级框架2.3.32版本或2.5.10.1。
思科塔洛斯研究人员已经发现“大量开采活动。”他们中有些人只执行Linux命令WHOAMI确定Web服务器用户的权限,并可能用于初始探测。另一些人会进一步和防火墙阻止了Linux,然后下载别人的服务器上执行的ELF可执行文件。
“在有效载荷已经改变,但是包括IRC保镖,拒绝服务机器人,以及与比尔·盖茨的僵尸网络的样本”的塔洛斯研究人员说,博客文章。
据西班牙服装哈克玩家研究员,谷歌的搜索表明,接受“文件类型:动作” 35000000个Web应用程序上传和它们的高比例可能会受到攻击。
这有点不寻常的攻击已经这么快就开始了这个安全漏洞公布后,它目前还不清楚是否一个漏洞在封闭的圈子周一之前就已经存在的漏洞。
谁也不能立即升级到修补的Struts版本的用户可以应用由创建的内容类型,将放弃任何要求不匹配的multipart / form-data的一个Servlet过滤器的解决方法。Web应用防火墙规则来阻止这样的请求也可以从不同的供应商。