USD 66.42 ЕВРО 75.22

Хакеры используют уязвимость Apache Struts для компрометации корпоративных веб-серверов

Экономика

Уязвимость позволяет злоумышленникам выполнять вредоносный код на серверах без аутентификации


 
Атакующие широко используют недавно исправленную уязвимость в Apache Struts, которая позволяет им удаленно выполнять вредоносный код на веб-серверах.
 
Apache Struts — это веб-платформа с открытым исходным кодом для веб-приложений Java. Она широко используется для создания корпоративных веб-сайтов в таких секторах, как образование, правительство, финансовые услуги, розничная торговля и СМИ.
В понедельник разработчики Apache Struts зафиксировали серьёзную уязвимость в компоненте Jakarta Multipart parser. По словам исследователей из Cisco Systems, спустя некоторое время на китайских веб-сайтах появился эксплойт уязвимости, а за этим, как утверждают исследователи Cisco Systems, практически сразу же последовали реальные атаки.
Данную уязвимость легко эксплуатировать. Она позволяет злоумышленникам выполнять системные команды с привилегиями пользователя, запускающего процесс на веб-сервере. Если веб-сервер настроен на работу от имени root, система полностью скомпрометирована, но выполнение кода под пользователем с более низким уровнем прав, также является серьезной угрозой безопасности.
Еще хуже то, что веб-приложению Java не нужна реализация функции загрузки файлов через парсер Jakarta Multipart, чтобы быть уязвимым. По словам исследователей из Qualys, простого присутствия на веб-сервере этого компонента, который является частью структуры Apache Struts по умолчанию, достаточно, чтобы допустить эксплуатацию.
«Излишне говорить, что мы считаем это высокоприоритетной проблемой, и последствия успешной атаки ужасны», сказал в блоге директор лаборатории уязвимостей в Qualys, Амол Сарват.
Компании, использующие Apache Struts на своих серверах, должны как можно скорее обновить фреймворк до версий 2.3.32 или 2.5.10.1.
Исследователи из Cisco Talos отметили «большое количество эксплуатационных событий». Некоторые из них выполняют только команду Linux whoami, чтобы определить привилегии пользователя веб-сервера и, вероятно, используются для первоначального зондирования.

Другие идут дальше, и останавливают брандмауэр Linux, а затем загружают исполняемый файл ELF, который выполняется на сервере.

«Полезные нагрузки варьировались, но они включают в себя IRC-баунсер, DoS-бот и образец, связанный с бот-нетом bill gates», — говорят исследователи Talos в блоге.
По словам исследователей из испанского подразделения Hack Players, поиск Google показывает 35 миллионов веб-приложений, которые принимают загрузки «filetype:action», и высокий процент из них, вероятно, уязвимы.
Несколько необычно, что атаки начались так быстро после выявления уязвимости, и пока не ясно, существовал ли эксплойт в узких кругах до понедельника.
Пользователи, которые не могут сразу перейти на исправленные версии Struts, могут применить обходное решение, заключающееся в создании фильтра Servlet для Content-Type, который будет отклонять любые запросы, не соответствующие multipart/form-data. Правила брандмауэра веб-приложений для блокировки таких запросов также доступны от различных вендоров.