盡管已打補(bǔ)丁,新的Apache Struts漏洞仍被大量利用。
漏洞CVE-2017-5638是Jakarta Multipart解析器中一個遠(yuǎn)程代碼執(zhí)行漏洞,它是由于Content-Type頭值的濫用而導(dǎo)致的。Apache Struts是用于構(gòu)建Java Web應(yīng)用程序的一個開源框架,因此影響非常廣泛。
Apache Struts漏洞最初是在3月6日進(jìn)行發(fā)布和修補(bǔ)的,但是漏洞利用的報告仍層出不窮。
Cisco Talos的安全研究人員一直在跟蹤Apache Struts漏洞及其漏洞利用,他們發(fā)現(xiàn)攻擊者正在做簡單的探測,如#cmd ='whoami'或ifconfig,或下載惡意的有效負(fù)載。
然而,據(jù)Rapid7的威脅分析和安全研究員Tom Sellers表示,探測可能沒那么簡單。
“在這個漏洞的相關(guān)內(nèi)容介紹中,我們強(qiáng)烈警告,這些‘無害命令’實際上用來確定目標(biāo)是否易受攻擊,”Sellers說。“在可能的范圍內(nèi),我們正在觀察攻擊者的動作,以了解互聯(lián)網(wǎng)上易受攻擊的主機(jī)的數(shù)量,作為信息收集工作,這是為以后的攻擊做準(zhǔn)備的一部分。”
來自Cisco Talos的博客文章對Apache Struts漏洞的不同的利用的幾個具體示例進(jìn)行了剖析,包括探測正確的漏洞帳戶(即root)以及下載惡意負(fù)載以傳播惡意軟件的更為復(fù)雜的攻擊。
Cisco Talos外包工程師Nick Biasini說:“現(xiàn)有的有效載荷差異很大,許多站點已被拆除,有效載荷已不再可用”。
他繼續(xù)表示,似乎沒有跡象表明對Apache Struts漏洞進(jìn)行的攻擊的結(jié)束。Biasini寫道:“很可能這種開發(fā)將在更大范圍內(nèi)繼續(xù)進(jìn)行,因為它很容易被利用,并且明顯的是很多系統(tǒng)是極易受到攻擊的”。
Apache Struts用戶唯一可以采取緩解威脅的辦法是立即升級到不易受攻擊的版本——2.3.32,2.5.10.1或更高版本。
京公網(wǎng)安備 11010502049343號