محققان امنیتی هشدار دادند آسیبپذیری که بتازگی در Apache Struts 2 کشف و هفتهی گذشته وصله شد، در حملاتی سایبری مورد بهرهبرداری قرار گرفته است. این آسیبپذیری Struts 2.3 تا ۲٫۳٫۳۴ و Struts 2.5 تا ۲٫۵٫۱۶ و احتمالا نسخههایی را که از آنها پشتیبانی امنیتی نمیشود، تحت تاثیر قرار داده است.
به این آسیبپذیری شناسهی CVE-2018-11776 اختصاص داده شده است. این آسیبپذیری به این دلیل وجود دارد که Apache Struts در دادهی ورودی namespace را بررسی نکرده و مهاجم میتواند آن را در درخواست HTTP ارسال کند. هرچند که محققانی که این آسیبپذیری را شناسایی کرده بودند، جزئیات فنی آن را منتشر کرده و توسعهدهندگان این چارچوب نیز این اشکال را وصله کردند، ولی در چند روز گذشته شاهد انتشار کد بهرهبرداری از این آسیبپذیری بهطور عمومی بودهایم.
در حال حاضر شرکت امنیتی Volexity اعلام کرده پویش جدیدی را شناسایی کرده که در حملات خود از این آسیبپذیری بهرهبرداری میکند. این پویش بلافاصله بعد از انتشار کد بهرهبرداری آغاز شده است. مهاجمان تلاش میکنند از این آسیبپذیری بهرهبرداری کرده و بدافزار استخراج رمزارز با نام CNRig را بر روی دستگاه قربانی نصب کنند. این اسکنها از آدرسهای IP متعلق به کشورهای فرانسه و روسیه با آدرسهای ۹۵٫۱۶۱٫۲۲۵٫۹۴ و ۱۶۷٫۱۱۴٫۱۷۱٫۲۷ آغاز شده است.
در این پویش تلاش میشود با درخواستهای wget از روی گیتهاب بدافزار CNRig و از روی BitBucket یک شِل اسکریپت دریافت شود. این شِل اسکریپت تلاش میکند به برخی از پردازهها خاتمه داده، نمونههای قبلی از بدافزار استخراج رمزارز را حذف کرده و برخی باینریهای ELF برای استخراج را دانلود کند. این بدافزار استخراج رمزارز معماریهای اینتل، ARM و MIPS را هدف قرار داده است.
گفته میشود این پویش هر دستگاه متصل به اینترنت را که در آن نمونهی آسیبپذیر Apache Struts داراست، هدف قرار داده است. از جملهی این دستگاهها میتوان سرورها، لپتاپ، کامپیوترهای رومیزی، دستگاههای اینترنت اشیاء و مسیریابهای بیسیم را نام برد. چارچوب Apache Struts بهطور گسترده در پروژههای مختلف مورد استفاده قرار گرفته و احتمال اینکه مهاجمان سریع بهرهبرداری از این آسیبپذیری را شروع کنند بسیار زیاد بود.
