Потенциальная уязвимость в Apache Struts перешла в кинетическую атаку

Опубликовано at 13:46
157 0

Всего несколько дней назад КБ-эксперт из Semmle описал критическую уязвимость в популярном фреймворке для web-приложений Apache Struts. Не прошло и недели, как хакеры-энтузиасты собрали целый набор отмычек для этой дыры.

Сообщается, что проблема CVE-2018-11776 затрагивает ядро фреймворка и позволяет удаленно выполнить код. Причина этому — недостаточная проверка вводимых пользователем недоверенных данных при определенных конфигурациях Apache Struts. Иными словами, если пройти по особым образом сконфигурированной ссылке на уязвимом web-сервере, это позволит злоумышленнику выполнить код и потенциально захватить управление сервером.

Проблема затрагивает все приложения, использующие поддерживаемые (от Struts 2.3 до Struts 2.3.34 и от Struts 2.5 до Struts 2.5.16) и некоторые неподдерживаемые версии фреймворка. Для этого необходимы два условия (НЕ соответствующие заводским настройкам Apache Struts): 1) В конфигурации фреймворка флаг alwaysSelectFullNamespace установлен как «true»; 2) Конфигурационный файл Apache Struts содержит теги «action» или «url», в которых не указывается необязательный атрибут пространства имен или указываются подстановочные символы пространства имен.

Как сообщает Bleeping Computer, активная эксплуатация уязвимости фреймворка началась 27 августа.

«Мы наблюдаем сканирование и попытки эксплуатации [уязвимости CVE-2018-11776] во множестве географически удаленных точек», — специалист компании Volexity Мэттью Мелцер

Эксперты из Greynoise Intelligence уточнили эти сведения: сканирование осуществляется с четырех IP-адресов (192.173.146.40, 202.189.2.94, 182.23.83.30 и 95.161.225.94), являющихся частью одного и того же ботнета. В новой кампании хакеры эксплуатируют CVE-2018-11776 для установки на серверы версии ПО для майнинга криптовалюты CNRig, загруженной из репозитория BitBucket.

Подписываемся, следим @CyberAgency

Related Post

Эксперт: Минфин «придумал» мобильное приложение, за которое заплатят автомобилисты

Опубликовано - 04.07.2017 0
Комиссия по законопроектной деятельности правительства одобрила подготовленное Минфином предложение об изменении условий оформления ДТП. Минфин предложил попавшим в аварию автовладельцам…

США и Израиль будут бороться с хакерами

Опубликовано - 10.02.2017 0
Конгрессмен-демократ Джеймс Лэнджевин внес в конгресс США законопроект, по которому Министерство внутренней безопасности на протяжении семи лет будет финансировать американских…

Киев и Лондон усиливают сотрудничество в области кибербезопасности

Опубликовано - 20.03.2018 0
Украина и Великобритания провели консультации в Лондоне по усилению сотрудничества в области кибербезопасности. Как отмечают эксперты, в Великобритании сильная экспертиза в…

Добавить комментарий