使用Apache Struts检测到的主动攻击漏洞CVE-2018-11776

上周，一位安全研究人员在Apache Struts中发现了一个漏洞，这是一个非常受欢迎的企业软件，本周已经开始了积极的攻击尝试。

有问题的漏洞被追踪为CVE-2018-11776，这是一个远程代码执行漏洞，允许攻击者获得对基于Struts的Web应用程序的控制权。

根据Palo Alto Networks的一项分析，这个漏洞在默认的Struts配置中无法被利用，但这个漏洞引起了所有人的兴趣，主要是因为Struts被一些世界上最大的公司使用（包括遭受重大数据泄露的Equifax）去年因为Struts的缺陷）。

多个PoC上周发布

在上周的过程中，一些安全研究人员已经把证明不同的概念验证（PoC）脚本CVE-2018-11776 ，包括了一步一步的教程。

其中一个PoC也嵌入到一体化的Struts开发工具包中，该工具包将先前的Struts远程代码执行缺陷与黑客的梦想结合起来。

有人发布了一个工具，通过3个众所周知 的RCE 自动开发Apache Struts服务器：CVE-2013-2251 CVE-2017-5638 CVE-2018-11776 令人惊讶的是，CVE-2017-9805不在那里，尽管最近和已经存在的概念验证 - Catalin Cimpanu（@campuscodi）2018年8月27日

但是尽管发布了如此众多的PoC和Struts黑客工具，攻击并没有立即发生。

两家网络安全公司Greynoise Intelligence和Volexity表示，从上周开始，他们已经检测到威胁演员正在扫描Struts服务器，但他们没有发现任何利用漏洞的企图。

GreyNoise观察到一（1）个主机（192.173.146.40）机会性地测试了最近的Apache Struts vuln（CVE-2018-11776）的互联网部分，但是还没有观察到武器化攻击。我们将报告何时观察到大规模的机会性剥削。 - GreyNoise Intelligence（@GreyNoiseIO）2018年8月24日

第一次攻击从昨天开始

利用CVE-2018-11776的积极尝试直到昨晚才开始。

“我们观察到的第一次开发尝试发生在昨天，8月27日，”Volexity的安全分析师Matthew Meltzer 今天在一次私人谈话中告诉Bleeping Computer。

“我们正在广泛地看到各种地理位置分散的目标的扫描和利用尝试，”Meltzer补充说。

Greynoise今天早些时候在推特上证实了Meltzer的调查结果。Greynoise说，扫描和试图利用这个缺陷的记录来自四个IP，该公司的专家认为这是同一个僵尸网络-192.173.146.40,202.189.2.94,182.23.83.30和95.161.225.94的一部分。

在过去的24小时内，GreyNoise已经观察到三（3）个不同的主机（202.189.2.94,182.23.83.30,95.161.225.94）爬上互联网以测试此漏洞，所有这些都使用相同的工具。这表明这些主机可能是同一个僵尸网络pic.twitter.com/K7tg6mxDEs的一部分 - GreyNoise Intelligence（@GreyNoiseIO）2018年8月28日

在其博客的一份报告中，Volexity还证实，一些扫描来自95.161.225.94，但也来自167.114.171.27，这两种扫描都是许多互联网扫描操作的来源。

“我们已经看到这两个IP地址在过去一年中都在积极进行扫描，”Meltzer告诉我们。

攻击者使用coinminers感染服务器

在分析了其中一些开发尝试后，Volexity研究人员表示，他们能够确定这些攻击的确切性质。

该公司表示，这些扫描背后的团队正在使用CVE-2018-11776打入Struts应用程序，并使用从BitBucket存储库下载的CNRig加密货币挖掘器版本污染底层服务器。

目前，与其他威胁参与者扫描其他漏洞相比，攻击规模较小。

格雷诺伊斯今天早些时候表示，“尚未观察到大规模的滥杀滥伤”。

帕洛阿尔托网络的研究人员指出，原因是Struts应用程序在其默认配置中不易受到CVE-2018-11776的攻击，这意味着更少的服务器可能容易受到攻击，因此，这种努力对于许多骗子来说并不值得。

攻击者也积极扫描过去的Struts漏洞

但是，尽管威胁行动​​者对CVE-2018-11776没有表现出太大的兴趣，但他们对老式的Struts缺陷表现出兴趣，这些缺陷已经引发了活动的复苏。

“在发布了CVE-2018-11776的PoC代码之后，我们也看到了扫描旧Struts漏洞的情况也有所增加，”Meltzer告诉Bleeping Computer。

如果您将时间用于修补基于Struts的应用程序，那么为较旧的缺陷（如CVE-2013-2251，CVE-2017-5638和CVE-2017-9805）应用修补程序可能也是明智之举。

目前和最新的Struts缺陷CVE-2018-11776已知会影响Apache Struts版本2.3到2.3.34和2.5到2.5.16。Apache Struts团队通过发布Struts版本2.3.35和2.5.17 修补了这个问题并发布了补丁。