Aanvallers zijn op dit moment het uitbuiten van een kritieke kwetsbaarheid, geïndexeerde CVE-2017-5638, waardoor ze bijna absolute controle over webservers gebruikt door banken te verkrijgen, overheidsinstellingen, en grote internetbedrijven. De aanvallen werden beschreven door Vicente Motos uit hack Players, wie dat "schreefAls je het uit te voeren tegen een kwetsbare applicatie, het resultaat zal het op afstand uitvoeren van commando's met de gebruiker die de server".
Hier wordt CVE-2017-5638 de officiële beschrijving gegeven door MITRE:
The Jakarta Multipart parser in Apache Struts 2 2.3.x vóór 2.3.32 en 2.5.x voor 2.5.10.1 mishandles het uploaden van bestanden, die het mogelijk maakt externe aanvallers willekeurige commando's uit te voeren via een # cmd = tekenreeks in een bewerkte Content-Type HTTP-header, zoals in het wild misbruik maart 2017.
Aanvallen op basis van CVE-2017-5638 Waargenomen en Geblokkeerd door onderzoekers
De kwetsbaarheid bevindt zich in de Apache Struts 2 Web applicatie framework en is makkelijk te exploiteren. Wat lastig is de fout nog aangevallen zelfs na het versteld op maandag. De aanvallen zijn gebaseerd op commando injecties in Struts servers die nog niet zijn gepatcht. Bovendien, onderzoekers zeggen dat twee andere werkende exploits voor het publiek beschikbaar.
De onderzoekers van Hack spelers zeiden dat ze toegewijd vele uren rapporteren aan bedrijven, overheden, fabrikanten, en individuen, drongen er bij hen om de bug onmiddellijk patchen. Helaas, de fout is al beroemd onder criminelen worden en er zijn tal van massale pogingen daarop gebaseerde.
Cisco onderzoekers zeiden dat ze getuige van een groot aantal van uitbuiting gebeurtenissen poging om een scala van kwaadaardige activiteiten uit te voeren. Bijvoorbeeld, commando's worden geïnjecteerd in webpagina's bedoeld om de firewall stoppen beschermen van de server. Vervolgens is het downloaden en installeren van malware, waarbij de lading kan variëren naar keuze van de aanvaller. De ladingen kunnen IRC bouncers, denial-of-service bots, pakketten die servers om te zetten in botnets. Cisco onderzoekers zijn momenteel het observeren en het blokkeren van kwaadaardige pogingen die in grote lijnen passen in twee categorieën: indringende en de verspreiding van malware. Veel van de aangevallen websites zijn al genomen naar beneden, waardoor de nuttige lading niet langer beschikbaar.
Meer over CVE-2017-5638
De fout ligt in het Jakarta bestand te uploaden multipart parser, dat is een standaard onderdeel van het kader en hoeft slechts een ondersteunende bibliotheek om te functioneren, zoals uitgelegd door Arstechnica.
Apache Struts versies beïnvloed door de bug bevatten Struts 2.3.5 door 2.3.31, en 2.5 door 2.5.10. Servers met een van deze versies moeten upgraden naar 2.3.32 of 2.5.10.1 per direct, zoals geadviseerd door onderzoekers.
Een ander ding heeft verbaasd onderzoekers uit verschillende bedrijven. Hoe is het mogelijk dat de kwetsbaarheid wordt uitgebuit zo massief 48 uur na de patch werd ter beschikking gesteld? Een mogelijk scenario is dat de Apache Struts handhavers het risico niet adequaat genoeg heeft te evalueren te waarderen als een hoog risico en in de tussentijd waarin staat dat stelde een mogelijke uitvoering van externe code gevaar. Andere onafhankelijke onderzoekers hebben de fout triviaal te exploiteren nagesynchroniseerde, hoge betrouwbare en vereist geen authenticatie een aanval uit te voeren.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: