黑客利用Apache Struts漏洞损害公司Web服务器

攻击者广泛利用Apache Strut中最近修补的漏洞，允许它们在Web服务器上远程执行恶意代码。

Apache Struts是Java Web应用程序的开源Web开发框架。它被广泛用于在包括教育，政府，金融服务，零售和媒体的行业中建立公司网站。

星期一，Apache Struts开发人员修复了框架的雅加达多部分解析器中的高影响力漏洞。几个小时后，根据思科系统的研究人员称，中文网站上出现了缺陷的漏洞，这几乎紧接着，几乎紧接着是现实世界的攻击。

漏洞易于利用，允许攻击者使用运行Web服务器进程的用户的权限执行系统命令。如果Web服务器以root身份运行，则系统被完全妥协，但是执行代码作为较低特权的用户也是一个严重的安全威胁。

更糟糕的是，Java Web应用程序不需要通过Jakarta Multipart解析器实现文件上传功能，以便易受攻击。根据Qualys的研究人员，默认情况下，该组件的Web服务器上的简单存在，默认情况下，这是Apache Struts框架的一部分，足以允许利用。

“不用说，我们认为这是一个高度优先问题，成功攻击的后果是可怕的，”质量漏洞实验室主任Amol Sarwate表示，在博客帖子中。

在其服务器上使用Apache Struts的公司应该尽快将框架升级到版本2.3.32或2.5.10.1。

思科塔罗斯斯科斯的研究人员已经观察到“大量的开发事件”。其中一些仅执行Linux命令Whoami以确定Web服务器用户的权限，并且可能用于初始探测。其他人进一步进一步并停止Linux防火墙，然后下载在服务器上执行的ELF可执行文件。

“有效载荷已经变化，但包括IRC保镖，DOS BOT和与比尔盖茨僵尸网络相关的样本，”Talos研究人员在博客帖子中表示。

据来自西班牙语服装Hack播放器的研究人员说，Google搜索指示了3500万个接受“FileType：Action”上传的Web应用程序，并且它们的高百分比可能很脆弱。

在缺陷宣布后，攻击已经开始如此迅速的攻击，它尚未清楚漏洞是否在星期一之前已经存在于封闭圈中的脆弱性。

能够立即升级到修补的Struts版本的用户可以应用一个解决方法，它包括为内容类型创建一个servlet过滤器，这些内容类型将丢弃任何不匹配多部分/表单数据的请求。用于阻止此类请求的Web应用程序防火墙规则也可从各种供应商提供。