Los atacantes están explotando actualmente una vulnerabilidad crítica, indexada CVE-2017-5638, lo que les permite obtener un control casi absoluto sobre los servidores web que utilizan los bancos, agencias gubernamentales, y las grandes compañías de Internet. Los ataques se dieron a conocer por Vicente Moto de Los jugadores Hack, quien escribió que "Si lo ejecuta contra una aplicación vulnerable, el resultado será la ejecución remota de comandos con el usuario que ejecuta el servidor".
Aquí está la descripción oficial de CVE-2.017-5.638 dada por INGLETE:
El analizador de Jakarta en varias partes Apache Struts 2 2.3.x antes 2.3.32 y 2.5.x antes 2.5.10.1 carga de archivos maneja mal, que permite a atacantes remotos ejecutar comandos arbitrarios mediante un # cmd = cadena en una cabecera HTTP Content-Type hecho a mano, como explotados en estado salvaje en de marzo de 2017.
Sobre la base de los ataques CVE-2017-5638 Observado y Bloqueado por investigadores
La vulnerabilidad reside en el Apache Struts 2 framework de aplicaciones web y es fácil de explotar. Lo que es problemático es que la falla sigue siendo objeto de ataques, incluso después de que fuera parcheado el lunes. Los ataques se basan en comandos inyecciones en los servidores de Struts que no han sido parcheados todavía. Adicionalmente, los investigadores dicen que otros dos hazañas de trabajo están disponibles públicamente.
Los investigadores de Hack jugadores dijeron que dedican muchas horas de informes a las empresas, gobiernos, fabricantes, y los individuos, instándolos a parchear el fallo de inmediato. Desafortunadamente, la falla ya se ha hecho famoso entre los delincuentes y hay un montón de intentos masivos basados en él.
Cisco investigadores dijeron que fueron testigos de un gran número de eventos de explotación de intentar realizar una serie de actividades maliciosas. Por ejemplo, los comandos se inyectan en las páginas web destinadas a detener el servidor de seguridad que protege el servidor. Lo siguiente es la descarga y la instalación de malware, donde la carga útil puede variar de acuerdo a la preferencia del atacante. Las cargas pueden ser porteros de IRC, los robots de denegación de servicio, paquetes que se convierten en servidores de redes de bots. investigadores de Cisco están actualmente observando y bloquea los intentos maliciosos que se ajustan a grandes rasgos en dos categorías: la distribución de sondaje y el malware. Muchos de los sitios atacados ya han sido derribados, haciendo las cargas útiles que no están disponibles por más tiempo.
Más información acerca de CVE-2017-5638
El defecto reside en el archivo del analizador de carga de varias partes Jakarta, que es una parte estándar del marco y sólo necesita una biblioteca de soporte para funcionar, según lo explicado por Arstechnica.
versiones de Apache Struts afectadas por el insecto incluyen Struts 2.3.5 mediante 2.3.31, y 2.5 mediante 2.5.10. Los servidores que ejecutan cualquiera de estas versiones deberían actualizar a 2.3.32 o 2.5.10.1 inmediatamente, según lo aconsejado por los investigadores.
Otra cosa que tiene intrigado a los investigadores de diferentes empresas. ¿Cómo es posible que la vulnerabilidad está siendo explotada de manera masiva 48 horas después el parche se puso a disposición? Un posible escenario es que los mantenedores de Apache Struts no evaluaron el riesgo de forma suficientemente adecuada la calificación como de alto riesgo y en el ínterin que indica que planteaba un posible peligro de ejecución remota de código. Otros investigadores independientes han bautizado como el defecto trivial para explotar, fiable y de alta y que no requiere autenticación para llevar a cabo un ataque.