本文主要是介绍Apache Struts CVE-2018-11776如何防止被利用,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
Apache Struts CVE-2018-11776如何防止被利用
在上周三(8月22日),Apache软件基金会(也就是Apache Software Foundation,简称为ASF)发布了一份有关一个Apache Struts开源网页应用程序框架关键漏洞的安全公告。该公告指出,如果成功利用,被标识为CVE-2018-11776的漏洞可能允许远程执行代码。仅在一天之后,即2018年8月23日,一位Github ID为“jas502n”的研究人员就发布了针对此漏洞的概念验证(PoC)漏洞利用代码。
hxxps://github.com/jas502n/St2-057/blob/master/README.md
在2018年8月24日,一位Github ID为“pr4jwal”的研究人员还发布了一个可利用该漏洞的Python脚本。
hxxps://github.com/pr4jwal/quick-s/blob/master/s2-057.py
安全事件处理公司Volexity在本周一(8月27日)发布的博文中指出,在PoC代码发布后不久,他们就观察到针对易受攻击系统的主动扫描行为以及试图利用该漏洞的尝试。Volexity还表示,到目前为止所有被观察到的攻击尝试都基于公开发布的PoC代码。另外,至少有一个攻击者试图利用CVE-2018-11776漏洞来安装CNRig加密货币矿工,而最初观察到的扫描来自95.161.225.94和167.114.171.27,这两个IP地址分别来自俄罗斯和加拿大。
以下是Volexity在攻击中观察到的漏洞利用尝试的一个示例:
如果上述漏洞利用尝试成功,那么易受攻击的系统将对下面列出的两个URL 执行wget请求,以便从Github下载CNRig Miner的副本(保存为xrig)以及从BitBucket下载一个shell脚本(upcheck.sh)。
hxxps://github.com/cnrig/cnrig/releases/download/v0.1.5-release/cnrig-0.1.5-linux-x86_64
hxxps://bitbucket.org/c646/zz/downloads/upcheck.sh
上述shell脚本如下所示:
该脚本将执行以下操作:
移除包含关键字rabbit的所有进程。
查找名称中包含关键字check的进程,如果它不是当前进程,则将其移除。
移除sh或xrig的所有实例。
下载三个ELF二进制文件(加密货币矿工),修改它们文件权限,执行文件,然后移除它们。
移除nohup.out。
休眠10分钟(600秒)。
下载的三个ELF二进制文件分别是适用于Intel、ARM和MIPS体系结构的加密货币矿工可执行文件。值得注意的是,这一点表明该矿工能够运行在各种硬件上,如服务器、台式机、笔记本电脑、物联网设备和无线路由器等。换句话来说,它几乎适用于所有运行易受攻击Apache Struts实例的联网设备。
托管此脚本的BitBucket帐户下的downloads文件夹似乎是一个开放的目录。导航到这个页面就可以看到脚本以及上面引用的其他ELF二进制文件:
如果漏洞利用成功,那么加密货币挖掘活动便将开始,这涉及到TCP端口20580上的采矿池us-east.cryptonight-hub.miningpoolhub.com和用户帐户c646.miner。值得注意的是,采矿池帐户名称与攻击者的BitBucket帐户名称相同。Volexity还指出,从BitBucket存储库下载的二进制文件都包含了字符串“Follow the white rabbit ”。
Apache Struts框架在全球范围内有着广泛的使用,其中包括位列《财富》100强企业中65%的企业,如跨国移动电话营办商沃达丰(Vodafone)、美国航空航天制造商洛克希德·马丁(Lockheed Martin)和英国维珍大西洋航空公司(Virgin Atlantic),也包括美国国内税务局(IRS)。
鉴于PoC代码已经被公布,我们毫不怀疑,基于CVE-2018-11776漏洞利用的攻击数量将迅速增加。虽然目前所观察到的有效载荷(payload)似乎主要是加密货币矿工,但这并不意味着攻击者无法部署其他类型的恶意软件。
无论如何,Apache软件基金会已经通过发布Struts版本2.3.35和2.5.17来修复了这个漏洞,因此我们强烈建议使用Apache Struts的企业和开发人员应尽快升级自己的版本。
最新版本下载链接如下:
Struts 2.3.35版本:hxxps://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.35
Struts 2.5.17版本:hxxps://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.17
这篇关于Apache Struts CVE-2018-11776如何防止被利用的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
