Новая уязвимость в Apache Struts используется в атаках

На прошлой неделе SecurityLab сообщал об уязвимости в Apache Struts (CVE-2018-11776), позволяющей злоумышленникам удаленно выполнить код и получить контроль над приложениями на базе Apache Struts. Теперь исследователи безопасности стали фиксировать активные атаки с использованием данной уязвимости.

В течение прошлой недели исследователи собрали воедино различные PoC-эксплоиты для Apache Struts вместе с пошаговой инструкцией. Один из них также был добавлен в набор эксплоитов «все в одном», превращающий все предыдущие критические уязвимости в Apache Struts в настоящую мечту хакера.

Несмотря на все вышесказанное, атаки с использованием CVE-2018-11776 не начались сразу же. На прошлой неделе эксперты ИБ-компаний Greynoise Intelligence и Volexity зафиксировали только сканирование в поисках серверов Apache Struts, но реальных попыток осуществить атаку не было.

Как сообщил порталу Bleeping Computer специалист компании Volexity Мэттью Мелцер (Matthew Meltzer), активная эксплуатация уязвимости началась 27 августа. «Мы наблюдаем сканирование и попытки эксплуатации во множествах географически разбросанных точках», - отметил Мелцер.

Исследователи из Greynoise Intelligence подтвердили сведения коллег из Volexity. По их словам, сканирование осуществляется с четырех IP-адресов (192.173.146.40, 202.189.2.94, 182.23.83.30 и 95.161.225.94), являющихся частью одного и того же ботнета. Эксперты Volexity подтвердили IP-адрес 95.161.225.94, также добавив к нему 167.114.171.27. Они давно известны исследователям, как адреса, использующиеся во многих операциях по сканированию.

Как сообщили эксперты, в новой кампании злоумышленники эксплуатируют CVE-2018-11776 для установки на серверы версии ПО для майнинга криптовалюты CNRig, загруженной из репозитория BitBucket. В настоящее время попыток эксплуатации данной уязвимости намного меньше по сравнению с другими уязвимостями. Это объясняется тем, что осуществление атаки невозможно при заводских настройках Apache Struts.

Источник