新的Apache Struts零日漏洞在野外被利用

ApacheStruts是一个免费、开源的模型-视图-控制器（MVC）框架，用于创建优雅、现代的Java web应用程序，支持REST、AJAX和JSON。

在周一发布的一篇博客文章中，思科的威胁情报公司Talos宣布，该团队发现了针对Apache Struts中零日漏洞（CVE-2017-5638）的多起主动攻击。
研究人员称，问题在于Apache Struts的雅加达多部分解析器中存在远程代码执行漏洞，攻击者在基于解析器上传文件时，可能会在服务器上执行恶意命令。

“有可能使用恶意内容类型值执行RCE攻击，”Apache警告说。“如果内容类型值无效，将引发异常，然后使用该异常向用户显示错误消息”。

Rapid7的Metasploit Framework GitHub站点记录了该漏洞，该漏洞已由Apache修补。因此，如果您在Apache Struts 2下使用基于雅加达的文件上载多部分解析器，建议您立即升级到Apache Struts版本2.3.32或2.5.10.1。

公开发布的攻击代码

由于Talos的研究人员检测到了公共概念证明（PoC）漏洞代码（该代码已上传到一个中国网站），该漏洞相当危险。
研究人员甚至检测到“大量的攻击事件”，其中大多数似乎是利用公开发布的PoC来运行各种恶意命令。

在某些情况下，攻击者会执行简单的“whoami”命令，以查看目标系统是否易受攻击，而在另一些情况下，恶意攻击会关闭目标系统上的防火墙进程并丢弃有效负载。

“最后的步骤包括从web服务器下载恶意负载，并执行所述负载，”研究人员说。“有效载荷多种多样，但包括一个IRC bouncer、一个DoS bot和一个与比尔·盖茨僵尸网络相关的示例……有效载荷是从特权帐户下载和执行的”。

攻击者还试图通过向启动例程添加二进制文件，在受感染的主机上获得持久性。

据研究人员称，攻击者试图将文件复制到一个良性目录，并确保“系统启动时，可执行文件运行，防火墙服务将被禁用”。

Cisco和Apache研究人员都敦促管理员尽快将其系统升级到Apache Struts 2.3.32或2.5.10.1版。管理员还可以切换到多部分解析器的不同实现。