آسیب پذیری ناشناخته جدید در Apache Struts که مورد سوء استفاده قرار گرفته است

 | تاریخ ارسال: 1396/1/20 | 

محققان امنیتی یک آسیب پذیری ناشناخته (Zero-Day)  را در قالب اپلیکیشن محبوب تحت وب  Apache Struts کشف کرده اند، که به صورت فعال در حال سوء استفاده شدن است.

Apache Struts یک قالب منبع باز رایگان با معماری MVC برای ساخت اپلیکیشن های مدرن وب جاوا است که از REST, AJAX, JSON پشتیبانی می کند.

در پست منتشر شده در روز دوشنبه، شرکت هوش سیسکو تالوس اعلام کرد که تیمش تعدادی از حملات فعال را در برابر آسیب پذیری zero-day (CVE-2017-5638) را در Apache Struts مشاهده کرده است.

به گفته محققان، این موضوع یک آسیب پذیری در اجرای کد از راه دور در تجزیه کننده مخرب جاکارتا متعلق به  Apache Struts است که به مهاجمان اجازه می دهد تا دستورات مخرب را روی سرور در هنگام آپلود فایل ها بر اساس تجزیه کننده اجرا کنند.

آپاچی هشدار داد: «ممکن است یک حمله RCE از نوع محتوای مخرب انجام شود، اگر نوع محتوا معتبر نباشد، یک استثناء پس زده می شود که سپس برای نمایش پیام خطا به کاربر مورد استفاده قرار می گیرد.»

این آسیب پذیری، مستند شده در قالب Rapid7's Metasploit Framework GitHub site ، توسط آپاچی ترمیم شده است. بنابراین، اگر شما در حال استفاده از آپلود فایل بر پایه جاکارتا تحت Apache Struts 2 هستید، پیشنهاد می کنیم هر چه سریعتر Apache Struts نسخه  2.3.32 یا 2.5.10.1 را ارتقاء دهید.

کد عمومی سوءاستفاده منتشر شد

از همان زمان که محققان تالوس کد عمومی سوء استفاده (PoC) را شناسایی کردند (که توسط یک سایت چینی آپلود شده بود)، این آسیب پذیری کاملا خطرناک است.

محققان حتی «شمار زیادی از سوء استفاده ها» را شناسایی کردند، که اکثریت آن به طور عمومی PoC منتشر شده ای است که برای اجرای دستورات متنوع مخرب استفاده می شود.

در برخی موارد، مهاجمان دستورات ساده "whoami" را اجراء می کنند تا ببینند که آیا سیستم هدف آسیب پذیر است یا خیر؛ در حالی که برخی موارد دیگر، حملات مخرب فرآیندهای فایروال را روی هدف خاموش کرده و داده انتقالی (payload) را کاهش می دهند.

محققان می گویند: «مراحل نهایی شامل دانلود کردن داده ی انتقالی مخرب از یک وب سرور، و اجرای آن است». این داده ها متنوع اند اما شامل IRC bouncer و ربات DoS و یک نمونه مربوط به باتنت بیل گیتس می شوند ... یک داده انتقالی از یک حساب دارای امتیاز ویژه دانلود و اجراء شده است.

همچنین، مهاجمان تلاش کردند تا میزان مقاومت میزبان آلوده را با اضافه کردن یک فایل باینری به روال عادی بوت آپ به دست بیاورند.

بر اساس گفته محققان، مهاجمان تلاش کردند تا فایل را به یک دایرکتوری بی خطر کپی کنند و مطمئن شوند که «فایلهای قابل اجرا و سرویس فایروال هردو، هنگام بوت شدن سیستم غیرفعال خواهند شد«.

محققان آپاچی و سیسکو، ادمین ها را تا آنجا که ممکن است، به ارتقاء سیستم هایشان به  Apache Struts version 2.3.32 یا  2.5.10.1 تشویق می کنند. ادمین ها می توانند به یک Multipart parser متفاوت نیز سوئیچ کنند.




CAPTCHA
دفعات مشاهده: 7335 بار   |   دفعات چاپ: 1048 بار   |   دفعات ارسال به دیگران: 0 بار   |   0 نظر