黑客利用Apache Struts漏洞攻击企业Web服务器,远程控制软件,灰鸽子下载

admin

黑客利用Apache Struts漏洞攻击企业Web服务器,远程控制软件,灰鸽子下载
该漏洞允许攻击者在没有身份验证的服务器上执行恶意代码

攻击者正在广泛利用Apache Struts中最近修补的漏洞，允许他们在Web服务器上远程执行恶意代码。

Apache Struts是一个用于Java Web应用程序的开源Web开发框架。它广泛用于在教育，政府，金融服务，零售和媒体等行业建立企业网站。

周一，Apache Struts开发人员在框架的Jakarta Multipart解析器中修复了一个高影响力的漏洞。几个小时后，一个漏洞的漏洞出现在中文网站上，这几乎是立即后面的真实世界的攻击，根据Cisco Systems的研究人员。

该漏洞很容易被利用，并允许攻击者使用运行Web服务器进程的用户的权限执行系统命令。如果Web服务器配置为以root身份运行，则系统完全受到攻击，但作为较低权限的用户执行代码也是严重的安全威胁。

更糟的是，Java Web应用程序甚至不需要通过Jakarta Multipart解析器实现文件上传功能，以便易受攻击。根据Qualys的研究人员，这个组件在Web服务器上的简单存在（默认情况下是Apache Struts框架的一部分）足以允许利用。

“不用说，我们认为这是一个高优先级的问题，成功攻击的后果是可怕的，”Qualys的脆弱性实验室主任Amol Sarwate在一篇博客中说。

在其服务器上使用Apache Struts的公司应该尽快将框架升级到版本2.3.32或2.5.10.1。

思科Talos的研究人员观察到“大量的剥削事件”。其中一些只执行Linux命令whoami来确定Web服务器用户的权限，并且可能用于初始探测。其他人进一步停止Linux防火墙，然后下载在服务器上执行的ELF可执行文件。

Talos的研究人员在一篇博客中说，“有效载荷多种多样，包括一个IRC弹跳器，一个DoS机器人和一个与帐单门户僵尸网络相关的示例。

根据西班牙装备Hack Players的研究人员，Google搜索显示有3500万个网络应用程序接受“filetype：action”上传，其中很大一部分可能是易受攻击的。

有些不寻常的是，在发现缺陷后，攻击开始如此之快，目前还不清楚在星期一之前是否已经在封闭的圈子中存在漏洞利用漏洞。

无法立即升级到修补的Struts版本的用户可以应用一个解决方法，其中包括为Content-Type创建一个Servlet过滤器，该过滤器将丢弃与multipart / form-data不匹配的任何请求。用于阻止这种请求的Web应用程序防火墙规则也可从各种供应商获得。