В минувшее воскресенье исследователь из SANS Internet Storm Center Гай Бруно (Guy Bruneau) сообщил, что за последние две недели его ловушка зафиксировала 57 попыток использовать уязвимость CVE-2017-5638 фреймворка Apache Struts 2. Атаки начались 13 марта, сканированию подверглись порты 443, 80 и 8080, запросы шли с IP-адресов из Азии.

Эта уязвимость связана с неверной обработкой заголовка Content-Type. Если вписать в него фрагмент вредоносного кода, парсер Jakarta Multipart не отображает, а запускает его. Таким образом на непропатченной системе злоумышленник может удаленно выполнять произвольные команды, минуя проверку подлинности. При зондировании взломщик посылает особый HTTP-запрос со скриптом внутри заголовка и «вылавливает» уязвимый софт. Если атака удалась, он получает несанкционированный доступ к ОС.

«Дыра» в безопасности была обнаружена 6 марта 2017 года, и разработчики сразу же выпустили патч для критического бага. «Заплатка» вошла в состав обновлений Struts 2.3.32 и 2.5.10.1, она актуальна для сборок с 2.3.5 по 2.3.31 и с 2.5 по 2.5.10.

Первая серия подозрительных сканирований серверов Apache Struts при помощи эксплойта CVE-2017-5638, которую ловушки зафиксировали вскоре после выхода исправления, исходила из Шанхая и Чжэнчжоу. Злоумышленники пытались использовать уязвимость заголовка Content-Type для загрузки бинарных файлов и DDoS-ботов. Всплеск вредоносного зондирования пришелся на 7–8 марта, после этого число запросов упало. Старший технический руководитель исследовательского подразделения Cisco Talos Крейг Уильямс (Craig Williams) сообщил, что столь быстрое снижение попыток взлома для хакеров нетипично, поэтому эксперты продолжат отслеживать атаки через CVE-2017-5638 на Apache Struts 2.

Второй всплеск активности вокруг этой «дыры» в безопасности произошел летом 2017 года. Тогда скомпрометированными оказались персональные данные более 145 млн клиентов американской компании по кредитованию Equifax. Сетевые администраторы организации допустили ошибку, своевременно не обновив Apache Struts 2 до версии с «заплаткой».

Более двух месяцев (с июля по сентябрь) хакеры имели свободный доступ к личным данным (именам, адресам электронной почты, кодам социального страхования) жителей США, Канады, Великобритании и Аргентины, являющихся клиентами Equifax.

Еще одна попытка воспользоваться CVE-2017-5638 на Apache Struts 2 была предпринята в декабре. Вредоносную активность обнаружили исследователи из F5 Networks: преступники хотели загрузить в уязвимую систему майнер Monero. Атаки были настолько упорными и сложными, что F5 дала этой кампании название Zealot («Фанатик»).

Категории: Уязвимости, Хакеры