Ataque a vulnerabilidade do Apache Struts

Uma falha de execução de código remota fácil de explorar, foi descoberta na estrutura de código aberto que é amplamente utilizada no Apache Struts 2 (framework apache). Essa falha foi corrigida, mas isso não impede que os invasores tentem ainda explorar sistemas vulneráveis.
A tecnologia open-source Apache Struts 2 é um componente de framework amplamente utilizado em aplicações Java e está atualmente sob ataque. Os ataques seguem a divulgação de 6 de março pelo projeto Struts, uma vulnerabilidade de Execução Remota de Código (RCE) identificada como CVE-2017-5638.
O problema da CVE-2017-5638 foi corrigida no mesmo dia em que o projeto Struts fez a divulgação, embora várias empresas de segurança tenham observado que os atacantes estão ativamente indo atrás de sistemas não corrigidos.

“É possível executar um ataque RCE com um valor de tipo de conteúdo malicioso”, adverte o projeto Apache Struts em seu aviso. “Se o Content-Type valor não é válido, uma exceção é lançada que é usada para exibir uma mensagem de erro para um usuário.”

John Matthew Holt, fundador da Waratek e CTO, comentou em uma declaração por e-mail, que a vulnerabilidade do Struts é crítica porque o ataque pode ser alcançado sem autenticação. Para piorar as coisas, os aplicativos da Web não precisam necessariamente carregar com êxito um arquivo malicioso para explorar essa vulnerabilidade, já que apenas a presença da biblioteca Struts vulnerável em um aplicativo é suficiente para explorar a vulnerabilidade.

“Para usuários que fizeram alterações personalizadas no código-fonte Struts, pode levar dias ou semanas para fazer upgrade”, afirmou Holt.
A empresa Rapid7 está entre os fornecedores de segurança que estão monitorando ativamente a vulnerabilidade do Struts, além de permitir que as organizações testem se estão em risco. Rapid7 é o principal patrocinador comercial por trás do open-source Metasploit framework, ferramenta de teste de penetração Há um módulo em desenvolvimento para Metasploit agora que permite aos pesquisadores testar o problema do Struts.

“Os testadores de falhas podem baixar a versão atual do código do GitHub, mas o módulo ainda precisa de alguns ajustes e revisão de controle de qualidade, antes de ser adicionado à base de código oficial do projeto”, disse Tom Vendedores, Analista de Ameaças e Segurança no Rapid7.

Além do Metasploit, Rapid7 operou o Heisenberg Cloud desde novembro de 2016, fornecendo uma rede de honeypot de nuvem no Amazon Web Services, Microsoft Azure, Ocean Digital, Rackspace, Google Cloud Platform e IBM SoftLayer – para ver que tipo de ataques estão ocorrendo.

“Os honeypots da nuvem de Heisenberg (ferramenta que tem a função de propositadamente simular falhas de segurança de um sistema), são ouvintes passivos para que sua contribuição nos dados atue no monitoramento e freqüente como os ataques são,” os vendedores explicaram.

Como se verifica, a Heisenberg Cloud começou a ver pedidos maliciosos relacionados com a vulnerabilidade do Apache Struts na terça-feira, 7 de Março. As sondas de ataque cresceram na quarta-feira 8 de março, quase dois dias depois que o projeto Struts lançou seu patch e conselho de segurança para CVE-2017-5638. Embora tenha havido tráfego de ataque, não tem sido uma tendência crescente.

“Nós realmente vimos uma queda no tráfego relacionado desde quarta-feira 8 de março”, disse Sellers. “Esta pode ser uma pausa temporária como atacantes descobrir a melhor forma de alavancar a vulnerabilidade ou estão à espera de atenção para mover em outro lugar.”

De uma perspectiva de carga de ataque, Sellers observou que até à data, Rapid7 não viu o CVE-2017-5638 questão utilizada como um vetor para instalar ransomware.

“O malware que vimos até agora tem sido relacionado a DDoS”, disse Sellers.

Dado que o Struts é um software de infra-estrutura que está incorporado em sistemas em execução, nem sempre é uma tarefa fácil para as organizações corrigirem. Na verdade, Sellers espera que os atacantes estarão fazendo uso da Vulnerabilidade CVE-2017-5638 Struts por algum tempo.

“Ainda vemos ataques usando o MS08-067 (Conficker) contra honeypots da Heisenberg Cloud uma década após sua divulgação pública e patch pela Microsoft”, disse Sellers.

você pode gostar também Mais do autor

Comentários