Хакеры активно эксплуатируют уязвимость в Apache Struts

Первые эксплоиты для уязвимости, позволяющей удаленно выполнить код в Apache Struts, появились в течение 48 часов после выхода патча.

Критическая уязвимость в Apache Struts 2.5, исправленная ранее на этой неделе, активно эксплуатируется злоумышленниками в устаревших версиях ПО. Уязвимость (CVE-2017-9805) существует из-за программной ошибки в процессе обработки Apache Struts данных из недоверенных источников и позволяет удаленному атакующему запустить на сервере вредоносный код. Спустя считанные часы после выхода патча предприимчивые хакеры выпустили эксплоит и модуль Metasploit для эксплуатации данной уязвимости.

Как предупреждают исследователи компании LGTM, обнаружившие уязвимость, по крайней мере 65% компаний из списка Fortune 100 используют фреймворк Apache Struts и все они могут стать жертвами удаленной атаки, если не обновят ПО.

Вместе с тем эксперты компании Contrast Security, обеспечивающейзащиту от данного типа эксплоитов, утверждают, что проблематичный плагин REST используют менее 1% Java-приложений.

Тем не менее эксперты начали замечать первые попытки эксплуатации уязвимости уже в течение 48 часов после выхода патча. Команда Cisco Talos и бельгийская фирма NVISO Labs выявили
атаки, главной целью которых был поиск уязвимых серверов. По даннымCisco Talos, попытки сканирования осуществлялись сроссийского сайта (wildkind[.]ru,188.120.246[.]215). Экспертытакже выявилиатаки с использованием потенциально вредоносногоПО. Исследователи не смогли определить, какаяименно использовалась полезная нагрузка, но судя по предыдущим атакам на Apache Struts, речь может идти о DDoS-ботах, спам-ботах и другихвредоносныхпрограммах.

Разработчики Apache Struts исправили уязвимость (CVE-2017-9805) в версии 2.5.13 , а также устранилиряд менее серьезных DoS-уязвимостей (CVE-2017-9804, CVE-2017-9793). Кроме того, разработчики выпустили еще одно обновление 2.3.34 , устраняющее уязвимость (CVE-2017-12611), которая позволяетудаленно выполнить код.