一年之前,研究人员们曾尝试利用 Apache Struts 2 框架中的安全缺陷(漏洞CVE-2017-5638)实现远程代码执行攻击。到目前为止,黑客们仍在进行网络扫描以寻找此类易受攻击影响的服务器。
漏洞CVE-2017-5638
这一安全漏洞影响到 Struts 2.3.5~2.3.31 版本以及 Struts 2.5~2.5.10 版本。该项安全漏洞已经于2017年3月6日伴随着2.3.32与2.5.10.1版本的发布而得到解决。
这项漏洞的作用原理,在于利用 Jakarta Multipart 解析器进行文件上传时,可能触发由 Content-Type 标头处理不当而导致的错误,进而允许远程且未经身份验证的攻击者在目标系统上执行任意操作系统命令。
在概念验证与补丁发布后的一天之内,研究人员们就发现了首例攻击尝试,其中一部分攻击活动对服务器进行扫描以搜索易受影响的Struts 安装,而另一部分则负责提供恶意软件。
近日漏洞利用尝试增多
SANS 互联网风暴中心研究员兼管理员盖·布鲁诺报告称,他的蜜罐在过去两周之内吸引到大量利用 CVE-2017-5638 漏洞的尝试。
这位专家表示,他的蜜罐单在3月25日就在80、8080以及443等端口上检测到57次攻击企图。这些攻击似乎立足于已经公开的概念验证方法,且采用了两种能够检查目标系统是否易受攻击的方法中的一种。
布鲁诺在接受采访时表示,目前还没有发现任何 payload。这位研究人员指出,他从3月13日开始已经多次发现来自亚洲攻击者的 IP地址。
布鲁诺认为,攻击者要么是在寻找未经补丁修复的服务器,要么就是在寻找未受妥善保护的新安装设备。
漏洞 CVE-2017-5638 非常重要,且已经于2017年被网络犯罪分子用于入侵美国信用报告机构 Equifax 公司的内部系统。攻击者得以在Equifax系统当中驻留长达两个月以上,并设法获得超过 1.45亿 条客户信息。2017年年底,由美国国家安全局(NSA)漏洞利用工具与加密货币采矿器掀起的新一波安全事件浪潮当中,也有这个漏洞的身影。
而这并不是自2017年以来,恶意攻击者们所利用的惟一 Apache Struts 2 漏洞。2017年9月,多家安全厂商警告称 CVE-2017-9805 远程代码执行漏洞已经被用于传播恶意软件。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。