Эксперты Cisco Talos зафиксировали атаки с эксплуатацией уязвимости нулевого дня в Apache Struts, исправленной 6 марта 2017 года. Apache Struts представляет собой бесплатный MVC-фреймворк с открытым исходным кодом для создания web-приложений на Java. Уязвимость CVE-2017-5638 позволяет выполнять команды на сервере путем загрузки контента в используемый в некоторых приложениях Struts компонент Jakarta Multipart. Проблема исправлена в версиях Apache Struts 2.3.32 и 2.5.10.1. Разработчикам рекомендуется обновить фреймворк или в качестве альтернативы использовать сервлетные фильтры, отсеивающие запросы с подозрительными значениями.
Эксперты Cisco Talos обнаружили на одном из китайских сайтов PoC-эксплоит для уязвимости, а также зафиксировали несколько попыток осуществить кибератаки. Используемые хакерами способы эксплуатации уязвимости различаются по сложности. В некоторых случаях злоумышленники пытались выполнить команду “whoami”, вероятно, с целью протестировать эксплоит на реальном сервере. В других случаях хакеры использовали более сложный подход с применением сразу нескольких команд shell.
Атакующие пытались деактивировать межсетевые экраны Linux и SUSE Linux, загрузить и запустить вредоносный код, а также получить персистентность на системе путем добавления вредоносного кода в процесс ее начальной загрузки. В частности, злоумышленники использовали IRC-баунсер, DoS-бот и DDoS-бот Bill Gates. (Cisco/NovostIT)