Angribere er i øjeblikket at udnytte en kritisk sårbarhed, indekserede CVE-2017-5638, giver dem mulighed for at opnå næsten absolut kontrol over webservere, der anvendes af banker, regerings kontorer, og store Internet virksomheder. Angrebene blev offentliggjort af Vicente Motos fra hack Spillere, som skrev, at "Hvis du kører den mod en sårbar ansøgning, resultatet vil være den ekstern udførelse af kommandoer med brugeren kører serveren".
Her er CVE-2017-5638 officielle beskrivelse af dem MITRE:
Den Jakarta Multipart parser i Apache Struts 2 2.3.x før 2.3.32 og 2.5.x før 2.5.10.1 mishandles fil upload, som gør det muligt for fjernangribere at udføre vilkårlige kommandoer via en # cmd = streng i et fabrikeret Content-Type HTTP header, som udnyttes i naturen i marts 2017.
Angreb Baseret på CVE-2017-5638 Observeret og Blokeret af forskere
Sårbarheden ligger i Apache Struts 2 Webapplikation rammer og er let at udnytte. Hvad er generende er, at fejl er stadig under angreb selv efter at det var lappet på mandag. Anfaldene er baseret på kommandoer injektioner i Struts servere, der endnu ikke er lappet. Desuden, Forskerne siger, at to andre arbejdsvilkår exploits er offentligt tilgængelige.
Forskerne fra Hack spillere sagde, at de dedikerede mange timer rapportering til virksomheder, regeringer, producenter, og enkeltpersoner, opfordret dem til at lappe fejlen straks. Desværre, fejlen er allerede blevet kendt blandt forbrydere og der er masser af massive forsøg baseret på det.
Cisco forskere sagde, at de var vidne til et højt antal udnyttelse arrangementer forsøger at udføre en række ondsindede aktiviteter. For eksempel, kommandoer injiceres i websider beregnet til at stoppe firewallen beskytter serveren. Næste er download og installation af malware, hvor nyttelasten kan variere alt efter hackerens præference. De nyttelast kan være IRC udsmidere, denial-of-service-bots, pakker, der bliver servere i botnets. Cisco forskere er i øjeblikket observere og blokere ondsindede forsøg, der i store træk passer i to kategorier: sondering og malware fordeling. Mange af de angrebne steder allerede taget ned, gøre nyttelast ikke tilgængelige længere.
Mere om CVE-2017-5638
Fejlen ligger i Jakarta upload multipart parser, som er en standard del af rammen og kun har behov for en støttende bibliotek til at fungere, som forklaret af Arstechnica.
Apache Struts versioner påvirket af fejlen omfatter Struts 2.3.5 igennem 2.3.31, og 2.5 igennem 2.5.10. Servere kører nogen af disse versioner bør opgradere til 2.3.32 eller 2.5.10.1 med det samme, som anvist af forskere.
En anden ting har forundret forskere fra forskellige virksomheder. Hvordan er det muligt, at sårbarheden bliver udnyttet så massiv 48 timer efter lappen blev stillet til rådighed? Et muligt scenarie er, at Apache Struts vedligeholdere ikke vurdere risikoen tilstrækkeligt nok rating det som høj risiko og i mellemtiden med angivelse af det udgjorde en mulig fjernkørsel fare. Andre uafhængige forskere har døbt fejlen trivielt at udnytte, høj pålidelig og kræver ingen godkendelse til at udføre et angreb.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: