Gli aggressori stanno sfruttando una vulnerabilità critica, indicizzato CVE-2017-5638, permettendo loro di ottenere il controllo quasi assoluto su server web utilizzati dalle banche, agenzie governative, e grandi aziende Internet. Gli attacchi sono stati resi noti da Vicente Motos da I giocatori Hack, che ha scritto che "Se si esegue contro un'applicazione vulnerabile, il risultato sarà l'esecuzione remota di comandi con l'utente esegue il server".
Qui è la descrizione ufficiale di CVE-2017-5638 dato da MITRA:
Il parser Jakarta Multipart in Apache Struts 2 2.3.x prima 2.3.32 e 2.5.x prima 2.5.10.1 upload di file strapazza, che consente agli aggressori remoti di eseguire comandi arbitrari con un # cmd = stringa in un'intestazione HTTP Content-Type artigianale, come sfruttati in natura marzo 2017.
Attacchi basati su CVE-2017-5638 Osservato e bloccati dai ricercatori
La vulnerabilità risiede nel Struts di Apache 2 framework per applicazioni web ed è facile da sfruttare. Ciò che è fastidioso è che il difetto è ancora sotto attacco anche dopo che era rattoppato di lunedi. Gli attacchi si basano su comandi iniezioni nel server Struts che non sono ancora stati patchati. In aggiunta, i ricercatori dicono che le altre due exploit di lavoro sono disponibili al pubblico.
I ricercatori Hack I giocatori hanno detto che dedicano molte ore di segnalazione alle aziende, governi, produttori, e gli individui, esortandoli a patchare immediatamente il bug. Sfortunatamente, il difetto è già diventato famoso tra i criminali e ci sono un sacco di massicci tentativi basati su di esso.
i ricercatori Cisco hanno detto che sono stati testimoni di un elevato numero di eventi di sfruttamento tentativo di eseguire una serie di attività dannose. Per esempio, comandi vengono iniettati in pagine web destinate a fermare il firewall protegge il server. Successivo è il download e l'installazione di malware, dove il carico utile può variare in base alle preferenze dell'attaccante. I carichi possono essere buttafuori IRC, denial-of-service bot, pacchetti che trasformano i server in botnet. ricercatori Cisco sta attualmente osservando e bloccando i tentativi malevoli che si adattano sostanzialmente in due categorie: la distribuzione di sondaggio e malware. Molti dei siti attaccati sono già state deposto, rendendo i carichi utili non disponibile più.
Di più su CVE-2017-5638
Il difetto risiede nel file di caricamento Jakarta multipart parser, che è una parte standard del quadro e ha solo bisogno di una libreria di supporto di funzionare, come spiegato da Arstechnica.
le versioni di Apache Struts colpiti dal bug includono Struts 2.3.5 attraverso 2.3.31, e 2.5 attraverso 2.5.10. I server che esegue qualsiasi di queste versioni dovrebbero eseguire l'aggiornamento a 2.3.32 o 2.5.10.1 subito, come consigliato dai ricercatori.
Un altra cosa ha ricercatori perplessi di diverse società. Come è possibile che la vulnerabilità viene sfruttata in modo massiccio 48 ore dopo la patch è stata messa a disposizione? Uno scenario possibile è che i manutentori Apache Struts non valutano il rischio in maniera sufficientemente adeguata classifico come ad alto rischio e nel frattempo affermando che rappresentava una possibile esecuzione di codice remoto pericolo. Altri ricercatori indipendenti hanno definito la falla banale di sfruttare, elevata affidabilità e che non richiede l'autenticazione di effettuare un attacco.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: