Первые эксплоиты для уязвимости, позволяющей удаленно выполнить код в Apache Struts, появились в течение 48 часов после выхода патча.
Критическая уязвимость в Apache Struts 2.5, исправленная ранее на этой неделе, активно эксплуатируется злоумышленниками в устаревших версиях ПО. Уязвимость (CVE-2017-9805) существует из-за программной ошибки в процессе обработки Apache Struts данных из недоверенных источников и позволяет удаленному атакующему запустить на сервере вредоносный код. Спустя считанные часы после выхода патча предприимчивые хакеры выпустили эксплоит и модуль Metasploit для эксплуатации данной уязвимости.
Как предупреждают исследователи компании LGTM, обнаружившие уязвимость, по крайней мере 65% компаний из списка Fortune 100 используют фреймворк Apache Struts и все они могут стать жертвами удаленной атаки, если не обновят ПО.Вместе с тем эксперты компании Contrast Security, обеспечивающей защиту от данного типа эксплоитов, утверждают, что проблематичный плагин REST используют менее 1% Java-приложений.
Тем не менее эксперты начали замечать первые попытки эксплуатации уязвимости уже в течение 48 часов после выхода патча. Команда Cisco Talos и бельгийская фирма NVISO Labs выявили атаки, главной целью которых был поиск уязвимых серверов. По данным Cisco Talos, попытки сканирования осуществлялись с российского сайта (wildkind[.]ru, 188.120.246[.]215). Эксперты также выявили атаки с использованием потенциально вредоносного ПО. Исследователи не смогли определить, какая именно использовалась полезная нагрузка, но судя по предыдущим атакам на Apache Struts, речь может идти о DDoS-ботах, спам-ботах и других вредоносных программах.
Разработчики Apache Struts исправили уязвимость (CVE-2017-9805) в версии 2.5.13 , а также устранили ряд менее серьезных DoS-уязвимостей (CVE-2017-9804, CVE-2017-9793). Кроме того, разработчики выпустили еще одно обновление 2.3.34 , устраняющее уязвимость (CVE-2017-12611), которая позволяет удаленно выполнить код.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале