攻击者被广泛利用最近在Apache Struts修补漏洞,让他们远程web服务器上执行恶意代码。
Apache Struts是一个开源的Java web应用程序的web开发框架。广泛用于构建企业网站在行业包括教育、政府、金融服务、零售和媒体。
周一,Apache Struts开发人员固定一个影响力的漏洞在框架的雅加达多部分解析器。几小时后,一个利用缺陷出现在中文网站和这是紧随其后的是现实世界的攻击,几乎立即根据思科系统公司的研究人员。
很容易所利用的漏洞,允许攻击者执行系统命令运行web服务器的用户的特权的过程。如果web服务器配置为作为根用户运行,该系统是完全妥协,但作为lower-privileged用户执行代码也是一个严重的安全威胁。
更糟的是,Java web应用程序甚至不需要实现文件上传功能通过雅加达多部分解析器要脆弱。根据Qualys研究者,简单的出现在这个组件的web服务器,这是默认的Apache Struts框架的一部分,足以允许剥削。
“不用说,我们认为这是一个高优先级的问题,一个成功的攻击的结果是可怕的,”阿莫勒说Sarwate, Qualys漏洞实验室主任,一篇博客文章。
公司使用Apache Struts框架在他们的服务器上应该升级版本2.3.32或2.5.10.1尽快。
思科塔洛斯的研究人员观察到“大量的剥削事件。”Some of them only execute the Linux command whoami to determine the privileges of the web server user and are probably used for initial probing. Others go further and stop the Linux firewall and then download an ELF executable that's executed on the server.
“有效载荷变化但包括IRC保镖,DoS机器人,和一个示例与比尔盖茨僵尸网络,”塔洛斯的研究人员说一篇博客文章。
根据西班牙的研究人员组织攻击球员,谷歌搜索显示3500万年web应用程序接受“filetype:行动”上传,其中很大一部分可能很脆弱。
有点不寻常,攻击开始后这么快就宣布缺陷,尚不清楚是否已经存在漏洞的利用在周一前封闭的圈子。
用户不能立即升级到修补Struts版本可以应用解决方案,包括为内容类型创建一个Servlet过滤器,丢弃任何请求不匹配的多部分/格式。Web应用程序防火墙规则来阻止这样的请求也可以从不同的供应商。