Попытки эксплуатации уязвимости во фреймворке Apache Struts 2, заметно участившиеся после выпуска патча и внесения PoC-кода в Metasploit, пошли на спад. Результаты анализа данных, собранных Rapid7 на ловушках, размещенных у пяти крупных интернет-провайдеров и в ряде частных сетей, показали, что в начале прошлой недели брешь в Struts 2 пытались атаковать два десятка источников, однако вредоносные команды посылали лишь два из них, прописанные в Китае.

В минувшую среду исследователи из Cisco Talos предупредили о резком росте атак на открытые серверы Apache после того, как стало известно о публично доступном эксплойте для CVE-2017-5638 и соответствующем модуле Metasploit. К сожалению, отличить злонамеренное зондирование серверов от безвредного трудно.

В более поздней блог-записи Rapid7 сказано, что начиная с 7 марта за трое суток они зафиксировали ряд всплесков вредоносного трафика, но количество запросов при этом на пике не превышало 50. «Число наблюдаемых попыток эксплойта данной уязвимости и впрямь сократилось, — заявил Том Селлерс (Tom Sellers), вирусный аналитик и ИБ-исследователь из Rapid7. — Однако следует иметь в виду, что наши данные получены с ловушек, размещенных у провайдеров облачных услуг, и могут не совпадать с картиной, полученной с других сенсоров и другими организациями».

Крейг Уильямс (Craig Williams), старший технический руководитель исследовательского подразделения Talos компании Cisco, также отметил тенденцию к сокращению вредоносного трафика. «Ранние индикаторы и прошлый опыт подсказывали, что авторы атак не скоро угомонятся и какое-то время будут упорно искать уязвимые машины, — говорит эксперт. — Тем не менее в последние пару дней мы наблюдаем снижение текущей активности. Это очень необычно, поэтому мы продолжаем отслеживать ситуацию на тот случай, если тренд начнет менять направление. Повторюсь, такой ход событий нетипичен для подобных проблем, но все равно это хорошая новость».

Уязвимость, о которой идет речь, была обнаружена в парсере Jakarta Multipart, идущем в комплекте с Apache. Ее эксплойт позволяет удаленно выполнить код и весьма тривиален: атакующему нужно лишь послать HTTP-запрос с особым значением в заголовке Content-Type. Уязвимый софт в этом случае выдаст исключение. «Когда программа готовит к выводу сообщение об ошибке, из-за дефекта в парсере Jakarta Multipart в составе Apache Struts вредоносное значение Content-Type исполняется, а не отображается», — пишет Селлерс в блоге Rapid7.

Брешь CVE-2017-5638 актуальна для Struts сборок с 2.3.5 по 2.3.31 и с 2.5 по 2.5.10. Патч для нее был выпущен 6 марта в составе обновлений Struts 2.3.32 и 2.5.10.1. На следующий день Rapid7 зафиксировала два вредоносных запроса HTTP GET с хоста, размещенного в Чжэнчжоу, административном центре китайской провинции Хэнань. Как удалось определить, автор атаки пытался подать на уязвимый сервер команду на загрузку бинарных файлов с контролируемого им IP-адреса. По словам Селлерса, это была типовая атака инъекцией команд, нацеленная на исполнение стороннего кода.

Вторая атака произошла в среду, 8 марта. С помощью вредоносных HTTP POST, исходящих из Шанхая, неизвестные злоумышленники пытались отключить межсетевой экран и закачать зловреда, относящегося к семейству XOR DDoS (в блог-записи Cisco Talos тоже отмечены попытки загрузки DDoS‑ботов, в частности BillGates).

«Мы насчитали дюжины две источников, атакующих данную уязвимость, но лишь эти два посылали вредоносные команды, — говорит Селлерс. — Спад эксплойт-потока, по нашим данным, начался со среды. Наиболее активный участник атак прекратил свою деятельность около 4 часов утра по центральному поясному времени».

Причины внезапного спада пока не определены. «Он мог быть вызван рядом факторов, — полагает Селлерс. — Вредоносная нагрузка хорошо заметна, и ее легко отфильтровать, если трафик проверяется. Возможно также, что атакующие предпочли использовать другие уязвимости, вроде тех, которые недавно были обнаружены в камерах. А может, затишье — лишь временное явление, и активность возобновится, когда внимание к ней ослабнет».

Экспертов Cisco также заботит, что Struts 2 используют некоторые IoT-устройства, которые вообще редко получают патчи. Не исключено, что попытки загрузки DDoS-ботов были вызваны именно этим обстоятельством. «Мне трудно судить об этом при столь скромной выборке, — комментирует Селлерс. — Возможно, DDoS-боты — это лишь первая ласточка, так как такие заражения сулят неизменный доход, к тому же без особых трудозатрат, а код легко портировать на существующие фреймворки. В случае с вымогательским ПО, к примеру, может понадобиться новый механизм для развертывания, а в результате оплата производится по числу заражений».

Наблюдая поиск уязвимых серверов, исследователи также отметили использование команд whoami и ifconfig, которые сравнительно безвредны, но могут возвращать информацию о контексте, в котором работает сервер. Наиболее высок риск для тех, кто использует сервер с правами root, но это довольно редкая практика.

Категории: Аналитика, Уязвимости, Хакеры