中国，俄罗斯黑客指望Apache Struts漏洞–Quick Heal 安全 Labs的报告

预计阅读时间： 4 分钟

Apache Struts 是基于MVC框架的开源CMS，用于开发Java EE Web应用程序。多年来，Apache Struts已被许多《财富》 100强公司和政府机构广泛用于开发Web应用程序。但是，使用CMS构建的网站经常需要升级其Web应用程序服务器中的CMS版本，因为CMS框架中的漏洞会直接影响整个网站的安全性。

正如Quick Heal 安全 Labs观察到的那样，自2018年1月以来，Apache Struts一直是大多数俄罗斯和中国黑客的攻击目标。

这些针对Apache Struts攻击的IDS / IPS遥测技术不断受到冲击，这表明黑客将针对该框架的时间更长。

Quick Heal IDS / IPS阻止的一些著名的Apache Struts远程代码执行漏洞是：

• CVE-2017-5638
• CVE-2017-12611
• CVE-2017-9791
• CVE-2017-9805

细节 关于这些漏洞 

CVE-2017-5638 是Apache修复的2017年第一个严重漏洞。该漏洞具有CVSS评分e表示10的严重性。 Jakarta Multipart解析器中存在此漏洞，该漏洞是在文件上传处理不当期间触发的。任意命令通过精心设计的Content-Type HTTP标头发送。 

Apache在2017年3月发布了几天的建议后不久，就发现了野蛮的利用尝试。由于当时并没有多少人知道该漏洞，所以黑客利用了漏洞并开始扫描服务器以查找易受攻击的未修补版本的Struts。

Equifax一家主要的信用报告机构，成为此类攻击的受害者，这是有史以来最大的数据泄露事件之一。黑客能够窃取 1.43亿 users。未能针对同一漏洞本身部署补丁是造成漏洞的原因。

然后来了 CVE-2017-9791 该漏洞由Apache于7月修补，当ActionMessage类中的错误消息的一部分传递了不受信任的输入时，该漏洞允许执行RCE攻击。下面显示的是作为POST请求发送到的恶意有效负载的示例“/struts-showcase/integration/saveGangster.action” URI.

该漏洞存在于Struts Showcase应用程序中，RCE是通过使用OGNL表达式运行恶意代码并以与CVE-2017-5638中相同的方式来实现的。

CVE-2017-9805 再次是在2017年9月修复的远程代码执行攻击。使用Struts REST插件和XStream处理程序处理XML有效载荷时会触发该错误。 XStream处理程序’s.toObject（）方法错误地反序列化了用户以XML请求形式发送的对象。

同样， CVE-2017-12611 是另一个Apache Struts漏洞，可以通过包含要在Apache服务器上执行的命令序列的精心设计的URI加以利用。该漏洞利用Freemarker标记中的无意表达式而不是字符串文字导致RCE攻击。

该漏洞的漏洞有效负载显示在URL字符串中，如下所示：

的 OGNL （对象图导航库）是一种开源表达语言（EL），用于获取和设置Java对象的属性。如果攻击者可以评估任意OGNL表达式，则他们可以执行任意代码或修改存储在应用程序服务器上的资源。

除CVE-2017-9805外，其余三个漏洞利用OGNL表达式执行RCE。因此，它建议网站管理员注意包含OGNL的请求，以免被任何零日漏洞利用。

让’有厕所k是我们看到的攻击的地理分布。

下面显示的geoomap显示了提到的所有攻击者IP的位置。

大约83％的攻击源IP位于俄罗斯和中国。

以下是我们从其中观察到的大多数攻击的IP列表：

• 5.188.10.105
• 222.186.50.75
• 123.249.27.28
• 120.203.197.58
• 115.236.16.26
• 62.196.180.28
• 119.249.54.93
• 58.215.65.231
• 211.159.187.138
• 122.112.224.61

另一方面，攻击的目标IP位置分布很均匀，表明攻击本质上是广泛分布的，而针对特定国家或地区的针对性较小。如下图所示，欧洲，美国，印度，中国和非洲的某些地区似乎经历了这些攻击。

我们主要看到攻击者将服务器定位为服务器，以安装Linux后门和安装加密货币矿工软件。像加密货币 门罗 带来丰厚的利润，这就是为什么攻击者入侵尽可能多的服务器以生成最大数量的硬币的原因。

我们强烈建议用户将其Apache Struts安装升级到最新的软件版本，并通过Quick Heal应用最新的安全更新。

参考文献:

• http://blogs.quickheal.com/cve-2017-5638-apache-struts-2-remote-code-execution-vulnerability/
• http://blogs.quickheal.com/cve-2017-9805-apache-struts-2-remote-code-execution-vulnerability-quick-heal-security-labs/
• //www.scmagazine.com/equifax-twice-missed-finding-apache-struts-vulnerability-allowing-breach-to-happen/article/697693/

主题专家

SameerPatil |快速修复安全实验室