Os invasores estão explorando uma vulnerabilidade crítica, indexado CVE-2017-5638, permitindo que eles obtenham controle quase absoluto sobre os servidores da web usados pelos bancos, agências governamentais, e grandes empresas de Internet. Os ataques foram divulgados por Vicente Motos de Hackear jogadores, quem escreveu que "Se você executá-lo em um aplicativo vulnerável, o resultado será a execução remota de comandos com o usuário executando o servidor”.
Aqui está a descrição oficial de CVE-2017-5638 fornecida por MITRA:
O analisador Jakarta Multipart no Apache Struts 2 2.3.x antes 2.3.32 e 2.5.x antes 2.5.10.1 manuseia incorretamente o upload do arquivo, que permite que atacantes remotos executem comandos arbitrários por meio de uma string # cmd = em um cabeçalho HTTP Content-Type elaborado, como explorado na natureza em março 2017.
Ataques baseados em CVE-2017-5638 observados e bloqueados por pesquisadores
A vulnerabilidade reside no Apache Struts 2 Estrutura de aplicativo da Web e é fácil de explorar. O que é problemático é que a falha ainda está sob ataque, mesmo depois de ter sido remendado na segunda-feira. Os ataques são baseados em injeções de comandos em servidores Struts que ainda não foram corrigidos. além do que, além do mais, pesquisadores dizem que duas outras façanhas de trabalho estão disponíveis publicamente.
Os pesquisadores da Hack Players disseram que dedicaram muitas horas reportando às empresas, governos, fabricantes, e indivíduos, encorajando-os a consertar o bug imediatamente. Infelizmente, a falha já se tornou famosa entre os criminosos e há muitas tentativas massivas com base nela.
Os pesquisadores da Cisco disseram que estavam testemunhando um grande número de eventos de exploração tentando realizar uma série de atividades maliciosas. Por exemplo, os comandos são injetados em páginas da web com o objetivo de impedir o firewall de proteger o servidor. Em seguida, é o download e a instalação de malware, onde a carga útil pode variar de acordo com a preferência do invasor. As cargas úteis podem ser seguranças de IRC, bots de negação de serviço, pacotes que transformam servidores em botnets. Os pesquisadores da Cisco estão atualmente observando e bloqueando tentativas maliciosas que se encaixam amplamente em duas categorias: sondagem e distribuição de malware. Muitos dos sites atacados já foram retirados do ar, tornando as cargas úteis não disponíveis mais.
Mais sobre CVE-2017-5638
A falha reside no analisador multipartes de upload de arquivos Jakarta, que é uma parte padrão da estrutura e só precisa de uma biblioteca de suporte para funcionar, conforme explicado pela Arstechnica.
As versões do Apache Struts afetadas pelo bug incluem Struts 2.3.5 através 2.3.31, e 2.5 através 2.5.10. Os servidores que executam qualquer uma dessas versões devem atualizar para 2.3.32 ou 2.5.10.1 imediatamente, conforme recomendado por pesquisadores.
Outra coisa intrigou pesquisadores de diferentes empresas. Como é possível que a vulnerabilidade esteja sendo explorada de forma tão massiva 48 horas depois que o adesivo foi disponibilizado? Um cenário possível é que os mantenedores do Apache Struts não avaliaram o risco de forma adequada, classificando-o como de alto risco e, entretanto, declarando que representava um possível perigo de execução remota de código. Outros pesquisadores independentes apelidaram a falha de trivial para explorar, altamente confiável e não requer autenticação para realizar um ataque.