Около недели назад Apache Software Foundation выпустила обновления для новой критической уязвимости в Apache Struts 2. Брешь получила идентификатор CVE‑2018‑11776. Она позволяет удаленно выполнять вредоносный код в приложениях, использующих Struts, а также перехватывать контроль над сервером. Дыра представляет опасность для версий фреймворка 2.3 (вплоть до 2.3.34) и (2.5 до 2.5.16 включительно), но, возможно, под угрозой и более старые сборки.

Исследователь из группы Semmle Ман Ю Мо (Man Yue Mo) так описывает свою находку: «Эта уязвимость затрагивает повсеместно используемые конечные точки Struts, которые, с большой вероятностью, не защищены и открывают возможный вектор атаки для злоумышленников. Кроме того, проблема связана с языком Struts OGNL, бреши которого хакеры хорошо знают и уже эксплуатировали в прошлом».

Баг вызван недостаточной валидацией данных непроверенных пользователей и проявляется только при определенных настройках Apache Struts. Атакующий сможет выполнить вредоносный код и перехватить контроль над сервером, отправив запрос на специально созданный URL-адрес.

Обнаружившие брешь специалисты Semmle Security опубликовали отчет о своей находке 22 августа и выложили техническое описание проблемы на GitHub. В результате в течение недели появилось несколько эксплойтов, на основании которых участники независимой платформы Secjuice составили пошаговое руководство по эксплуатации CVE-2018-11776. Эксперты компаний Greynoise Intelligence и Volexity отметили, что с момента публикации PoC серверы Apache Struts постоянно сканировались, а 27-го числа злоумышленники воспользовались багом и начали первые атаки.

Как сообщил изданию Bleeping Computer аналитик Volexity Мэттью Мелцер (Matthew Meltzer), «мы наблюдаем сканирование и попытки эксплуатации по всему миру». Специалисты из Greynoise Intelligence <a href="https://twitter.com/GreyNoiseIO/status/1034307042310279168" target="_blank"подтвердили слова коллеги, отметив, что засекли четыре IP-адреса атакующих — 192.173.146.40, 202.189.2.94, 182.23.83.30 и 95.161.225.94.

Пока целью злоумышленников является добыча криптовалюты — они устанавливают на серверы майнер CNRig. Исследователи также отмечают, что новая уязвимость на данный момент не вызывает большого интереса у преступников.

Однако инцидент возродил интерес к старым брешам Struts. Это может стать серьезной проблемой, потому что больше половины пользователей инфраструктуры Apache Struts продолжают работать со старыми версиями, не устанавливая свежие патчи безопасности. Специалисты рекомендуют пользователям Struts 2.3 перейти на версию 2.3.35, а владельцы Struts 2.5 должны обновиться до 2.5.17.

Программная среда Struts имеет открытый исходный код и предназначена для разработки веб-приложений. Аналитики считают, что по крайней мере 65% компаний из списка Fortune 500 используют этот фреймворк. Системы на базе Apache Struts применяются в авиакомпаниях (Aerlingus, Virgin Atlantic), на сайтах бронирования билетов, в интернет-школах, информационных бюллетенях, финансовых учреждениях и множестве других онлайн-сервисов.

В сентябре 2017 года работающее с Apache Struts кредитное агентство Equifax пострадало от утечки. В открытом доступе оказались данные почти 150 млн клиентов из США, Великобритании и Канады. Сетевые администраторы компании вовремя не установили патч безопасности для уязвимости CVE-2017-5638, что и стало причиной инцидента.

Категории: Уязвимости, Хакеры