尽管已打补丁,新的Apache Struts漏洞仍被大量利用。
漏洞CVE-2017-5638是Jakarta Multipart解析器中一个远程代码执行漏洞,它是由于Content-Type头值的滥用而导致的。Apache Struts是用于构建Java Web应用程序的一个开源框架,因此影响非常广泛。
Apache Struts漏洞最初是在3月6日进行发布和修补的,但是漏洞利用的报告仍层出不穷。
Cisco Talos的安全研究人员一直在跟踪Apache Struts漏洞及其漏洞利用,他们发现攻击者正在做简单的探测,如#cmd ='whoami'或ifconfig,或下载恶意的有效负载。
然而,据Rapid7的威胁分析和安全研究员Tom Sellers表示,探测可能没那么简单。
“在这个漏洞的相关内容介绍中,我们强烈警告,这些‘无害命令’实际上用来确定目标是否易受攻击,”Sellers说。“在可能的范围内,我们正在观察攻击者的动作,以了解互联网上易受攻击的主机的数量,作为信息收集工作,这是为以后的攻击做准备的一部分。”
来自Cisco Talos的博客文章对Apache Struts漏洞的不同的利用的几个具体示例进行了剖析,包括探测正确的漏洞帐户(即root)以及下载恶意负载以传播恶意软件的更为复杂的攻击。
Cisco Talos外包工程师Nick Biasini说:“现有的有效载荷差异很大,许多站点已被拆除,有效载荷已不再可用”。
他继续表示,似乎没有迹象表明对Apache Struts漏洞进行的攻击的结束。Biasini写道:“很可能这种开发将在更大范围内继续进行,因为它很容易被利用,并且明显的是很多系统是极易受到攻击的”。
Apache Struts用户唯一可以采取缓解威胁的办法是立即升级到不易受攻击的版本——2.3.32,2.5.10.1或更高版本。
本文转自d1net(转载)