Apache Struts最新漏洞CVE-2018-11776被黑客攻击利用

  • A+
所属分类:网络安全新闻
阿里代金券


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

Apache Struts最新漏洞CVE-2018-11776被黑客攻击利用

关于Apache Struts 2中最近发现的关键远程执行代码漏洞CVE-2018-11776 的漏洞利用代码的在线可用性。

PoC代码发布在GitHub上,专家们警告大规模攻击的风险。

CVE-2018-11776 漏洞影响Struts版本从2.3到2.3.34,Struts 2.5到2.5.16,以及可能不支持的框架版本。

Struts 2.3.35和2.5.17版本包含用于解决CVE-2018-11776的安全更新。

Struts开发人员还发布了一个临时解决方法,但建议用户不要使用它并安装更新。

当天的消息是,根据威胁情报公司Volexity的说法,这个漏洞已经被恶意攻击所滥用。

该漏洞很容易被利用,当没有为底层xml配置中定义的结果设置名称空间值时,可能会触发RCE缺陷,同时,其上部操作配置没有或通配符名称空间。

根据威胁情报公司Recorded Future的专家的说法,在一些中国和俄罗斯的地下论坛上,有一项与Struts缺陷有关的激烈活动。

“不幸的是,这使漏洞变得微不足道 - 实际上,概念验证代码已经 发布,包括 允许轻松利用的 Python脚本。Recorded Future还发现了许多中国和俄罗斯地下论坛关于利用此漏洞的喋喋不休。“阅读 Recorded Future发布的 分析。

“与去年属于Equifax漏洞中心的Apache Struts漏洞利用(CVE-2017-5638)不同, 这个漏洞似乎更容易被利用,因为它不需要Apache Struts安装就可以运行任何额外的插件来成功利用它。“

专家警告说,与Equifax hack中利用的CVE-2017-5638 Apache Struts漏洞相比,CVE-2018-11776漏洞更容易 被利用 。

潜在易受攻击的应用程序的数量可能令人印象

来自Volexity的研究人员宣布,在PoC在线发布之后,已经观察到针对该漏洞的第一个恶意攻击活动。

威胁行为者正试图安装CNRig加密货币矿工。

“ Volexity 已经观察到至少有一个威胁行为者试图集体利用CVE-2018-11776来安装CNRig加密货币矿工。” Volexity发布的报告指出。

“最初观察到的扫描来自俄罗斯和法国的IP地址95.161.225.94和167.114.171.27,”

攻击中使用的漏洞通过对两个代码所在的URL执行wget请求,从Github获取CNRig Miner的副本(将其保存为xrig)和来自BitBucket的shell脚本。

shell脚本删除了矿工的先前实例,删除了特定进程,并下载了三个ELF加密挖掘二进制文件。

下载的三个ELF二进制文件是英特尔,ARM和MIPS架构的可执行文件。值得注意的是,它表明该矿工能够运行各种硬件,如服务器,台式机,笔记本电脑,物联网设备,无线路由器等 - 几乎所有运行易受攻击的Apache Struts实例的互联网连接设备。“继续报道来自 Volexity 。

攻击中涉及的BitBucket文件夹包含shell脚本和ELF二进制文件。研究人员发现,挖掘帐户名称与BitBucket帐户名称相同。

我毫不怀疑,针对CVE-2018-11776漏洞的广告系列数量将迅速增加。还有许多仍未修补的Apache Struts 2安装在线公开。

CE安全网

发表评论

您必须登录才能发表评论!