研究者称,黑客针对运行Apache Struts应用的服务器
趋势科技研究员称,中国的黑客论坛上已经出现自动攻击已知Struts漏洞的工具
中国黑客现在正是用一个自动工具利用Apache Struts中的已知漏洞,目的是在用这个框架开发的用于托管应用的服务器上安装后门。
Apache Struts是一个非常常见的开源框架,可用于开发基于Java的Web应用,这个框架由Apache Softwware Foundation维护。
今年已经发布了多个Struts安全感呢个小,上月就曾发布,这些更新可以修补一些非常关键的漏洞,否则远程攻击者将利用这些漏洞在Web服务器上执行任意指令。
据趋势科技的研究员透露,黑客现在正非常积极地利用这些漏洞。这些研究员们在一个隐秘的中国论坛上发现了一款工具,此工具可针对有漏洞的Struts发起自动攻击。
这款工具利用以下Struts漏洞来损坏服务器:S2-016 (CVE-2013-2251), 在7月16号发布的 Struts 2.3.15.1 中已得到修复; S2-013 (CVE-2013-1966), 在5月22号发布的Struts 2.3.14.1 中已得到修复; S2-009 (CVE-2011-3923), 在2012年1月的Struts 2.3.1.2 已被修复; 还有S2-005 (CVE-2010-1870), 在2010年8月16号发布的Struts 2.2.1 中已被修复。
趋势科技高级威胁研究员Noriaki Hayashi于周三在其博客中透露,7月19日,在最新的Struts漏洞被爆出后的第三天,此攻击工具的存在便得到确认。
“我们对利用此工具攻击亚洲目标的行为进行了观察,观察结果表明,不法分子正积极利用这些Struts漏洞,”他说。
一旦有黑客用Struts工具进入了Linux或Windows服务器,他们可以执行预配置命令,这样就可以提取服务器操作系统,目录结构,活跃用户和网络配置的相关信息。
这款工具还可以让攻击者植入所谓的Web Shell充当后门,使他们可以持续访问服务器执行其他命令,为所欲为,Hayashi说。
该工具安装的Web Shell被称为JspWebShell,是用JavaServer Pages编码。
功能更强大的Web Shell在黑客论坛上也是可以轻易获取的,黑客可以利用这些工具从已被侵入的服务器上搜寻并窃取信息,该研究员说。
Struts 2.3.15.1,目前是最安全的版本,此版本去除了若干有漏洞的特性,如“DefaultActionMapper类的redirect:”和“redirectAction:”前缀。Struts程序员警告称,升级到此版本或许会影响到一些依赖这些特性的应用,所以他们推荐用修补后的导航规则替换已被弃用的前缀。
Hayashi强烈推荐大家升级到最新版本。“成功攻击带来的潜在威胁和修改应用的不便利相比较,前者的影响更令人棘手。”
相关阅读: