CVE-2017-5638パッチが適用されていますが、まだ攻撃を受けています, リスクのある企業

攻撃者は現在、重大な脆弱性を悪用しています, インデックス付きCVE-2017-5638, 銀行が使用するWebサーバーをほぼ完全に制御できるようにします, 政府機関, と大手インターネット企業. 攻撃はVicenteMotosによって開示されました ハックプレイヤー, 誰が書いたの脆弱なアプリケーションに対して実行した場合, 結果は、サーバーを実行しているユーザーによるコマンドのリモート実行になります」.

これがCVE-2017-5638の公式説明です マイター:

ApacheStrutsのJakartaマルチパートパーサー 2 2.3.x前 2.3.32 および以前の2.5.x 2.5.10.1 ファイルのアップロードを誤って処理する, これにより、リモートの攻撃者は、細工されたContent-Type HTTPヘッダーの＃cmd=文字列を介して任意のコマンドを実行できます。, 3月に野生で搾取されたように 2017.

研究者によって観察およびブロックされたCVE-2017-5638に基づく攻撃

脆弱性はApacheStrutsにあります 2 Webアプリケーションフレームワークであり、悪用が容易です. 厄介なのは、欠陥があった後もまだ攻撃を受けていることです パッチを当てる 月曜日に. 攻撃は、まだパッチが適用されていないStrutsサーバーへのコマンドインジェクションに基づいています。. 加えて, 研究者によると、他の2つの実用的なエクスプロイトが公開されています.

Hack Playersの研究者は、企業への報告に何時間も費やしたと述べました, 政府, メーカー, と個人, すぐにバグにパッチを当てるように彼らに促します. 不運にも, 欠陥はすでに犯罪者の間で有名になっており、それに基づいて大規模な試みがたくさんあります.

シスコの研究者は、さまざまな悪意のある活動を実行しようとする多数の悪用イベントを目撃していると述べました. 例えば, サーバーを保護するファイアウォールを停止するためのコマンドがWebページに挿入されます. 次はマルウェアのダウンロードとインストールです, ペイロードは攻撃者の好みに応じて変化する可能性があります. ペイロードはIRCバウンサーである可能性があります, サービス拒否ボット, サーバーをボットネットに変えるパッケージ. シスコの研究者は現在、2つのカテゴリに広く当てはまる悪意のある試みを監視およびブロックしています: プロービングとマルウェアの配布. 攻撃されたサイトの多くはすでに削除されています, ペイロードを使用できなくする.

CVE-2017-5638の詳細

欠陥は、ジャカルタファイルアップロードマルチパートパーサーにあります, これはフレームワークの標準部分であり、機能するためにサポートライブラリのみが必要です, Arstechnicaによって説明されているように.

バグの影響を受けるApacheStrutsのバージョンにはStrutsが含まれます 2.3.5 終えた 2.3.31, と 2.5 終えた 2.5.10. これらのバージョンのいずれかを実行しているサーバーは、にアップグレードする必要があります 2.3.32 また 2.5.10.1 すぐに, 研究者のアドバイスに従って.

もう1つ、さまざまな企業の研究者を困惑させています. 脆弱性がこれほど大規模に悪用されている可能性はどのようにありますか 48 パッチが利用可能になってから数時間? 考えられるシナリオの1つは、Apache Strutsのメンテナがリスクを十分に評価していないため、リスクが高いと評価し、その間にリモートでコードが実行される危険性があると述べた場合です。. 他の独立した研究者は、この欠陥を悪用するのは簡単だと言っています, 信頼性が高く、攻撃を実行するために認証を必要としない.