新的Apache Struts零日漏洞在野外被利用
发布时间:2022-08-13 03:48:22 369
相关标签: # apache# 漏洞# 研究# 服务器# 攻击

ApacheStruts是一个免费、开源的模型-视图-控制器(MVC)框架,用于创建优雅、现代的Java web应用程序,支持REST、AJAX和JSON。
在周一发布的一篇博客文章中,思科的威胁情报公司Talos宣布,该团队发现了针对Apache Struts中零日漏洞(CVE-2017-5638)的多起主动攻击。
“有可能使用恶意内容类型值执行RCE攻击,”Apache警告说。“如果内容类型值无效,将引发异常,然后使用该异常向用户显示错误消息”。Rapid7的Metasploit Framework GitHub站点记录了该漏洞,该漏洞已由Apache修补。因此,如果您在Apache Struts 2下使用基于雅加达的文件上载多部分解析器,建议您立即升级到Apache Struts版本2.3.32或2.5.10.1。
公开发布的攻击代码
由于Talos的研究人员检测到了公共概念证明(PoC)漏洞代码(该代码已上传到一个中国网站),该漏洞相当危险。

“最后的步骤包括从web服务器下载恶意负载,并执行所述负载,”研究人员说。“有效载荷多种多样,但包括一个IRC bouncer、一个DoS bot和一个与比尔·盖茨僵尸网络相关的示例……有效载荷是从特权帐户下载和执行的”。攻击者还试图通过向启动例程添加二进制文件,在受感染的主机上获得持久性。
据研究人员称,攻击者试图将文件复制到一个良性目录,并确保“系统启动时,可执行文件运行,防火墙服务将被禁用”。
Cisco和Apache研究人员都敦促管理员尽快将其系统升级到Apache Struts 2.3.32或2.5.10.1版。管理员还可以切换到多部分解析器的不同实现。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报