WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗ hổng zero-day mới trên Apache Struts bị khai thác trên thực tế
Các nhà nghiên cứu vừa phát hiện một lỗ hổng zero-day trên nền tảng ứng dụng web phổ biến Apache Struts, đang bị khai thác trên thực tế.
Trong một bài blog đăng hôm 6/3, nhóm Talos của Cisco tuyên bố hãng đã quan sát thấy một số cuộc tấn công lợi dụng lỗ hổng zero-day (CVE-2017-5638) trên Apache Struts.
Theo các nhà nghiên cứu, đây là lỗ hổng thực thi mã từ xa trong thành phần Jakarta Multipart parser của Apache Struts. Lỗ hổng cho phép tin tặc thực thi các lệnh tùy ý trên máy chủ khi tải các file trên bộ phân tích.
“Có khả năng thực hiện một cuộc tấn công thực thi mã từ xa RCE bằng giá trị Content-Type độc hại”, Apache cảnh báo. “Nếu giá trị Content-Type không hợp lệ, một giá trị khác sẽ được đưa vào để hiển thị tin nhắn lỗi đến người dùng”.
Lỗ hổng, được ghi lại trên trang web Metasploit Framework GitHub của Rapid7 và đã được Apache vá. Do vậy, nếu bạn đang sử dụng chức năng upload file dựa trên Jakarta từ phiên bản Apache Struts 2 trở xuống, bạn nên nâng cấp Apache Struts lên các phiên bản 2.3.32 hoặc 2.5.10.1 ngay lập tức.
Mã khai thác đã được công khai
Do các nhà nghiên cứu Talos đã phát hiện thấy mã khai thác proof-of-concept (PoC) được upload lên một trang Trung Quốc, lỗ hổng khá nguy hiểm.
“Các bước cuối cùng bao gồm tải một payload độc hại từ máy chủ web và thực thi”, các nhà nghiên cứu cho hay. “Các payload đã thay đổi nhưng vẫn gồm có một IRC bouncer, DoS bot và một mẫu liên quan đến mạng botnet Bill Gates… Một payload được tải về và thực thi bằng tài khoản có đặc quyền”.
Ngoài ra, tin tặc cũng cố gắng tiếp tục chiếm quyền trên máy bị nhiễm bằng cách thêm một file nhị phân vào lệnh khởi động.
Theo các nhà nghiên cứu, tin tặc đã cố gắng sao chép các tập tin vào một thư mục an toàn và đảm bảo rằng "cả hai lệnh thực thi chạy được và tường lửa bị vô hiệu hóa khi hệ thống khởi động".
Cả Cisco và Apache đều hối thúc các quản trị viên nâng cấp hệ thống của họ lên Apache Struts phiên bản 2.3.32 hoặc 2.5.10.1 càng sớm càng tốt. Quản trị viên cũng có thể thay đổi sang một bộ phân tích khác.
Trong một bài blog đăng hôm 6/3, nhóm Talos của Cisco tuyên bố hãng đã quan sát thấy một số cuộc tấn công lợi dụng lỗ hổng zero-day (CVE-2017-5638) trên Apache Struts.
Theo các nhà nghiên cứu, đây là lỗ hổng thực thi mã từ xa trong thành phần Jakarta Multipart parser của Apache Struts. Lỗ hổng cho phép tin tặc thực thi các lệnh tùy ý trên máy chủ khi tải các file trên bộ phân tích.
“Có khả năng thực hiện một cuộc tấn công thực thi mã từ xa RCE bằng giá trị Content-Type độc hại”, Apache cảnh báo. “Nếu giá trị Content-Type không hợp lệ, một giá trị khác sẽ được đưa vào để hiển thị tin nhắn lỗi đến người dùng”.
Lỗ hổng, được ghi lại trên trang web Metasploit Framework GitHub của Rapid7 và đã được Apache vá. Do vậy, nếu bạn đang sử dụng chức năng upload file dựa trên Jakarta từ phiên bản Apache Struts 2 trở xuống, bạn nên nâng cấp Apache Struts lên các phiên bản 2.3.32 hoặc 2.5.10.1 ngay lập tức.
Mã khai thác đã được công khai
Do các nhà nghiên cứu Talos đã phát hiện thấy mã khai thác proof-of-concept (PoC) được upload lên một trang Trung Quốc, lỗ hổng khá nguy hiểm.
“Các bước cuối cùng bao gồm tải một payload độc hại từ máy chủ web và thực thi”, các nhà nghiên cứu cho hay. “Các payload đã thay đổi nhưng vẫn gồm có một IRC bouncer, DoS bot và một mẫu liên quan đến mạng botnet Bill Gates… Một payload được tải về và thực thi bằng tài khoản có đặc quyền”.
Ngoài ra, tin tặc cũng cố gắng tiếp tục chiếm quyền trên máy bị nhiễm bằng cách thêm một file nhị phân vào lệnh khởi động.
Theo các nhà nghiên cứu, tin tặc đã cố gắng sao chép các tập tin vào một thư mục an toàn và đảm bảo rằng "cả hai lệnh thực thi chạy được và tường lửa bị vô hiệu hóa khi hệ thống khởi động".
Cả Cisco và Apache đều hối thúc các quản trị viên nâng cấp hệ thống của họ lên Apache Struts phiên bản 2.3.32 hoặc 2.5.10.1 càng sớm càng tốt. Quản trị viên cũng có thể thay đổi sang một bộ phân tích khác.
Nguồn: The Hacker News