攻击者正在广泛利用Apache Struts中最近修补过的一个漏洞,该漏洞允许他们在web服务器上远程执行恶意代码。
Apache Struts是一个用于Java web应用程序的开源web开发框架。它被广泛用于建设教育、政府、金融服务、零售和媒体等部门的企业网站。
周一,Apache Struts开发人员修正了一个高冲击漏洞在框架的Jakarta Multipart解析器中。思科系统(Cisco Systems)的研究人员表示,几个小时后,中文网站就出现了该漏洞的利用,而现实世界中的攻击几乎立即就出现了。
该漏洞很容易被利用,攻击者可以以运行web服务器进程的用户的特权执行系统命令。如果将web服务器配置为以root用户运行,系统将完全受到威胁,但以低特权用户执行代码也会对安全造成严重威胁。
更糟糕的是,Java web应用程序甚至不需要通过Jakarta Multipart解析器实现文件上传功能,从而容易受到攻击。据Qualys的研究人员称默认情况下,该组件是Apache Struts框架的一部分,它在web服务器上的简单存在就足以允许开发。
“不用说,我们认为这是一个高度优先的问题,一个成功的攻击的后果是可怕的,”阿莫尔·萨沃特说一篇博客文章.
在服务器上使用Apache Struts的公司应该尽快将框架升级到2.3.32或2.5.10.1版本。
Cisco Talos的研究人员观察到“大量的剥削事件”。其中一些只执行Linux命令whoami来确定web服务器用户的特权,并且可能用于初始探测。其他人则更进一步,停止Linux防火墙,然后下载在服务器上执行的ELF可执行文件。
“有效载荷各不相同,但包括一个IRC保镖,一个DoS机器人,以及一个与比尔·盖茨僵尸网络相关的样本,”Talos研究人员在《纽约时报》上说一篇博客文章.
根据西班牙机构Hack Players的研究人员,谷歌搜索结果显示,有3500万个网络应用程序接受“文件类型:动作”上传,其中很大一部分可能容易受到攻击。
在该漏洞公布后,攻击就如此迅速地开始,这有点不寻常,目前尚不清楚周一之前是否已经存在针对该漏洞的漏洞利用。
不能立即升级到打过补丁的Struts版本的用户可以应用一种变通方法,即为Content-Type创建Servlet过滤器,丢弃不匹配multipart/form-data的任何请求。各种供应商也提供了用于阻止此类请求的Web应用程序防火墙规则。