Всего несколько дней назад КБ-эксперт из Semmle описал критическую уязвимость в популярном фреймворке для web-приложений Apache Struts. Не прошло и недели, как хакеры-энтузиасты собрали целый набор отмычек для этой дыры.
Сообщается, что проблема CVE-2018-11776 затрагивает ядро фреймворка и позволяет удаленно выполнить код. Причина этому — недостаточная проверка вводимых пользователем недоверенных данных при определенных конфигурациях Apache Struts. Иными словами, если пройти по особым образом сконфигурированной ссылке на уязвимом web-сервере, это позволит злоумышленнику выполнить код и потенциально захватить управление сервером.
Проблема затрагивает все приложения, использующие поддерживаемые (от Struts 2.3 до Struts 2.3.34 и от Struts 2.5 до Struts 2.5.16) и некоторые неподдерживаемые версии фреймворка. Для этого необходимы два условия (НЕ соответствующие заводским настройкам Apache Struts): 1) В конфигурации фреймворка флаг alwaysSelectFullNamespace установлен как «true»; 2) Конфигурационный файл Apache Struts содержит теги «action» или «url», в которых не указывается необязательный атрибут пространства имен или указываются подстановочные символы пространства имен.
Как сообщает Bleeping Computer, активная эксплуатация уязвимости фреймворка началась 27 августа.
«Мы наблюдаем сканирование и попытки эксплуатации [уязвимости CVE-2018-11776] во множестве географически удаленных точек» , — специалист компании Volexity Мэттью Мелцер
Эксперты из Greynoise Intelligence уточнили эти сведения: сканирование осуществляется с четырех IP-адресов (192.173.146.40, 202.189.2.94, 182.23.83.30 и 95.161.225.94), являющихся частью одного и того же ботнета. В новой кампании хакеры эксплуатируют CVE-2018-11776 для установки на серверы версии ПО для майнинга криптовалюты CNRig, загруженной из репозитория BitBucket.
