使用Apache Struts检测到的主动攻击漏洞CVE-2018-11776

上周,一位安全研究人员在Apache Struts中发现了一个漏洞,这是一个非常受欢迎的企业软件,本周已经开始了积极的攻击尝试。

有问题的漏洞被追踪为CVE-2018-11776,这是一个远程代码执行漏洞,允许攻击者获得对基于Struts的Web应用程序的控制权。

根据Palo Alto Networks的一项分析,这个漏洞在默认的Struts配置中无法被利用,但这个漏洞引起了所有人的兴趣,主要是因为Struts被一些世界上最大的公司使用(包括遭受重大数据泄露的Equifax)去年因为Struts的缺陷)。

多个PoC上周发布

在上周的过程中,一些安全研究人员已经把证明不同的概念验证(PoC)脚本CVE-2018-11776 ,包括了一步一步的教程。

其中一个PoC也嵌入到一体化的Struts开发工具包中,该工具包将先前的Struts远程代码执行缺陷与黑客的梦想结合起来。

有人发布了一个工具,通过3个众所周知 的RCE 自动开发Apache Struts服务器:CVE-2013-2251 CVE-2017-5638 CVE-2018-11776 令人惊讶的是,CVE-2017-9805不在那里,尽管最近和已经存在的概念验证 - Catalin Cimpanu(@campuscodi)2018年8月27日

但是尽管发布了如此众多的PoC和Struts黑客工具,攻击并没有立即发生。

两家网络安全公司Greynoise Intelligence和Volexity表示,从上周开始,他们已经检测到威胁演员正在扫描Struts服务器,但他们没有发现任何利用漏洞的企图。

GreyNoise观察到一(1)个主机(192.173.146.40)机会性地测试了最近的Apache Struts vuln(CVE-2018-11776)的互联网部分,但是还没有观察到武器化攻击。我们将报告何时观察到大规模的机会性剥削。 - GreyNoise Intelligence(@GreyNoiseIO)2018年8月24日

第一次攻击从昨天开始

利用CVE-2018-11776的积极尝试直到昨晚才开始。

“我们观察到的第一次开发尝试发生在昨天,8月27日,”Volexity的安全分析师Matthew Meltzer 今天在一次私人谈话中告诉Bleeping Computer

“我们正在广泛地看到各种地理位置分散的目标的扫描和利用尝试,”Meltzer补充说。

Greynoise今天早些时候在推特上证实了Meltzer的调查结果。Greynoise说,扫描和试图利用这个缺陷的记录来自四个IP,该公司的专家认为这是同一个僵尸网络-192.173.146.40,202.189.2.94,182.23.83.30和95.161.225.94的一部分。

在过去的24小时内,GreyNoise已经观察到三(3)个不同的主机(202.189.2.94,182.23.83.30,95.161.225.94)爬上互联网以测试此漏洞,所有这些都使用相同的工具。这表明这些主机可能是同一个僵尸网络pic.twitter.com/K7tg6mxDEs的一部分 - GreyNoise Intelligence(@GreyNoiseIO)2018年8月28日

在其博客的一份报告中,Volexity还证实,一些扫描来自95.161.225.94,但也来自167.114.171.27,这两种扫描都是许多互联网扫描操作的来源。

“我们已经看到这两个IP地址在过去一年中都在积极进行扫描,”Meltzer告诉我们。

攻击者使用coinminers感染服务器

在分析了其中一些开发尝试后,Volexity研究人员表示,他们能够确定这些攻击的确切性质。

该公司表示,这些扫描背后的团队正在使用CVE-2018-11776打入Struts应用程序,并使用从BitBucket存储库下载的CNRig加密货币挖掘器版本污染底层服务器。

目前,与其他威胁参与者扫描其他漏洞相比,攻击规模较小。

格雷诺伊斯今天早些时候表示,“尚未观察到大规模的滥杀滥伤”。

帕洛阿尔托网络的研究人员指出,原因是Struts应用程序在其默认配置中不易受到CVE-2018-11776的攻击,这意味着更少的服务器可能容易受到攻击,因此,这种努力对于许多骗子来说并不值得。

攻击者也积极扫描过去的Struts漏洞

但是,尽管威胁行动​​者对CVE-2018-11776没有表现出太大的兴趣,但他们对老式的Struts缺陷表现出兴趣,这些缺陷已经引发了活动的复苏。

“在发布了CVE-2018-11776的PoC代码之后,我们也看到了扫描旧Struts漏洞的情况也有所增加,”Meltzer告诉Bleeping Computer

如果您将时间用于修补基于Struts的应用程序,那么为较旧的缺陷(如CVE-2013-2251,CVE-2017-5638和CVE-2017-9805)应用修补程序可能也是明智之举。

目前和最新的Struts缺陷CVE-2018-11776已知会影响Apache Struts版本2.3到2.3.34和2.5到2.5.16。Apache Struts团队通过发布Struts版本2.3.35和2.5.17 修补了这个问题并发布了补丁。

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/active-attacks-detected-using-apache-struts-vulnerability-cve-2018-11776/

扫码关注云+社区

领取腾讯云代金券