SempreUPdate
Notícias sobre Ubuntu, Debian, Fedora, Linux, Android, Tecnologia, LibreOffice e muito mais!

Ataque a vulnerabilidade do Apache Struts

Uma falha de execução de código remota fácil de explorar, foi descoberta na estrutura de código aberto que é amplamente utilizada no Apache Struts 2 (Framework apache). Essa falha foi corrigida, mas isso não impede que os invasores tentem ainda explorar sistemas vulneráveis.
A tecnologia open-source Apache Struts 2 é um componente de Framework amplamente utilizado em aplicações Java e está atualmente sob ataque. Os ataques seguem a divulgação de 6 de março pelo projeto Struts, uma vulnerabilidade de Execução Remota de Código (RCE) identificada como CVE-2017-5638.
O problema da CVE-2017-5638 foi corrigida no mesmo dia em que o projeto Struts fez a divulgação, embora várias empresas de segurança tenham observado que os atacantes estão ativamente indo atrás de sistemas não corrigidos. John Matthew Holt, fundador da Waratek e CTO, comentou em uma declaração por e-mail:

“É possível executar um ataque RCE com um valor de tipo de conteúdo malicioso”, adverte o projeto Apache Struts em seu aviso. “Se o Content-Type valor não é válido, uma exceção é lançada que é usada para exibir uma mensagem de erro para um usuário.”

A vulnerabilidade do Struts é crítica porque o ataque pode ser alcançado sem autenticação. Para piorar as coisas, os aplicativos da Web não precisam necessariamente carregar com êxito um arquivo malicioso para explorar essa vulnerabilidade, já que apenas a presença da biblioteca Struts vulnerável em um aplicativo é suficiente para explorar a vulnerabilidade.

 

“Para usuários que fizeram alterações personalizadas no código-fonte Struts, pode levar dias ou semanas para fazer upgrade”, afirmou Holt.
A empresa Rapid7 está entre os fornecedores de segurança que estão monitorando ativamente a vulnerabilidade do Struts, além de permitir que as organizações testem se estão em risco. Rapid7 é o principal patrocinador comercial por trás do open-source Metasploit Framework, ferramenta de teste de penetração Há um módulo em desenvolvimento para Metasploit agora que permite aos pesquisadores testar o problema do Struts.

“Os testadores de falhas podem baixar a versão atual do código do GitHub, mas o módulo ainda precisa de alguns ajustes e revisão de controle de qualidade, antes de ser adicionado à base de código oficial do projeto”, disse Tom Vendedores, Analista de Ameaças e Segurança no Rapid7.

Além do Metasploit, Rapid7 operou o Heisenberg Cloud desde novembro de 2016, fornecendo uma rede de Honeypot de nuvem no Amazon Web Services, Microsoft Azure, Ocean Digital, Rackspace, Google Cloud Platform e IBM SoftLayer – para ver que tipo de ataques estão ocorrendo.

 

“Os honeypots da nuvem de Heisenberg (ferramenta que tem a função de propositadamente simular falhas de segurança de um sistema), são ouvintes passivos para que sua contribuição nos dados atue no monitoramento e freqüente como os ataques são,” os vendedores explicaram.

Como se verifica, a Heisenberg Cloud começou a ver pedidos maliciosos relacionados com a vulnerabilidade do Apache Struts na terça-feira, 7 de Março. As sondas de ataque cresceram na quarta-feira 8 de março, quase dois dias depois que o projeto Struts lançou seu patch e conselho de segurança para CVE-2017-5638. Embora tenha havido tráfego de ataque, não tem sido uma tendência crescente.

“Nós realmente vimos uma queda no tráfego relacionado desde quarta-feira 8 de março”, disse Sellers. “Esta pode ser uma pausa temporária como atacantes descobrir a melhor forma de alavancar a vulnerabilidade ou estão à espera de atenção para mover em outro lugar.”

De uma perspectiva de carga de ataque, Sellers observou que até à data, Rapid7 não viu o CVE-2017-5638 questão utilizada como um vetor para instalar ransomware.

“O Malware que vimos até agora tem sido relacionado a DDoS”, disse Sellers.

Dado que o Struts é um software de infra-estrutura que está incorporado em sistemas em execução, nem sempre é uma tarefa fácil para as organizações corrigirem. Na verdade, Sellers espera que os atacantes estarão fazendo uso da Vulnerabilidade CVE-2017-5638 Struts por algum tempo.

“Ainda vemos ataques usando o MS08-067 (Conficker) contra Honeypots da Heisenberg Cloud uma década após sua divulgação pública e patch pela Microsoft“, disse Sellers.

Fonte Fonte
Comentários