نقص Apache Struts بیشتر برای هک کردن سرور ها مورد استفاده قرار می گیرد.

شرکت امنیتی Imperva هزاران حمله را که هدفشان استفاده از  یک آسیب پذیری  اجرای کد از راه دور است، شناسایی کرده است. این آسیب پذیری بر چارچوب توسعه برنامه Apache Struts2 تأثیر می گذارد.یک حفره امنیتی با عنوان CVE-2017-9805 ردیابی شده است  که بر برنامه هایی که از پلاگین REST با XStream handler برای payloads XML استفاده می کنند،تاثیر میگذارد.این حفره به دلیل وجود راه های غیر مطمئنی است که Struts به دلیل نا مرتب گرفتن بسته های داده، به وجود می آیند.

چند ساعت پس از انتشار فایل Patch، کد های مخرب در دسترس قرار گرفتند.چند روز پس از انتشار، آزمایشگاه های  Cisco Talos و NVISO در بلژیک، مشاهدات خود از تلاش کد های مخرب در کامپیوترها را گزارش دادند. با این حال،در بیشتر حملات، تنها هدف، یافتن سرورهای آسیب پذیر است.سیستم های شرکت Imperva هزاران حمله را تا کنون مسدود کرده اند . این شرکت مدعی است که تقریبا ۸۰ درصد از حملات سعی کرده اند تا بسته ای مخرب را ارسال کنند.

تقریبا دو سوم از حملات دیده شده توسط این شرکت از طریق Wget می باشد که یک ابزار برای دانلود فایل ها است.لیست بسته ها همچنین شامل پوسته سیستم در مسیر /bin/sh ،ابزار مدیریت و کاوش در شبکه، ابزار انتقال داده CURL و برنامه Certificate Services Certutil است.

بزرگترین مبدا حملات چین می باشد که فقط  با یک  Ip واحد چینی بیش از ۴۰% از درخواست ها را ارسال می کند.آدرس Ip  مورد نظر در یک کمپانی تجاری چینی ثبت می شود و متخصصان بر این باورند که حمله کنندگان ممکن است یکی از دستگاه ها را به خطر اندازند. حملات همچنین از استرالیا، ایالات متحده، برزیل، کانادا، روسیه و کشورهای مختلف اروپایی صورت میگیرد.در بسیاری از موارد، مجرمان سایبری دستورات خود را برای بازیابی بسته ی مخرب اجرا می کنند که به آنها اجازه می دهد تا  سرورمورد نظر را کنترل کنند و از آن برای (DDoS) و سایر حملات سوء استفاده کنند.در این ماه  تعدادی آسیب پذیری در Apache Struts 2  رفع شده است و همچنین سیسكو محصولات خود را برای تشخیص اینکه چه تعداد از آنها ممكن است در معرض حملات باشند بررسی کرده است.در حالی که تعدادی از محصولات تحت بررسی هستند،CVE-2017-9805T تاکنون بر روی سری موتورهایی به نام MXE 350 ، سازمان واحد مرکز تماس، سازمان واحد مدیریت تماس هوشمند و تحلیل کارایی شبکه تاثیر داشته اند.هفته گذشته یک نقض کد اجرایی از راه دور در Apache Struts 2 رفع شده است. CVE-2017-12611 بر روی مدیریت رسانه های دیجیتالی سیسکو، راه حل همکاری میزبانی برای مرکز تماس،سازمان واحد مرکز تماس ، سازمان واحد مدیریت تماس هوشمند تاثیر می گذارد.

نقص Apache Struts باعث نقص Equifax شد.

بر اساس برخی گزارش ها، نقض اخیر Equifax که تقریبا ۱۴۳ میلیون مصرف کننده در ایالات متحده را تحت تاثیر قرار می دهد، آسیب پذیری Apache Struts را شامل می شود.در حالی که بعضی ها بر این باورند که این نقص می تواند CVE-2017-9805 باشد، یک سناریوی احتمالی این است که مهاجمان از CVE-2017-5638  که یک آسیب پذیری است که از ماه مارس به صورت مداوم مورد استفاده قرار می گیرد ،استفاده می کنند .Equifax تا به حال تأیید نکرده است که نقص Struts در واقع درحملات، با هدف استفاده از سیستم های آنها مورد استفاده قرار گرفته است.

 

 

پست‌های مشابه

Leave a Comment