Известные уязвимости в Apache Struts активно эксплуатируются хакерами

Китайские хакеры эксплуатируют известные уязвимости в фреймворке с открытым исходным кодом для создания Java web-приложений Apache Struts. Злоумышленники устанавливают бэкдоры на серверах, где находятся приложения, созданные при помощи этого фреймворка.

В этом году для Apache Struts было выпущено несколько обновлений, устраняющие критические уязвимости, которые позволяли злоумышленникам удаленно выполнять произвольные команды на сервере, содержащем подобное приложение. Тем не менее, исследователи Trend Micro обнаружили на китайских подпольных форумах инструмент для автоматизированных атак на уязвимые версии Struts.

Для взлома серверов этот инструмент эксплуатирует следующие уязвимости в фреймворке: S2-016 ( CVE-2013-2251 ), устраненную 16 июля в Struts 2.3.15.1; S2-013 ( CVE-2013-1966 ), устраненную 22 мая в Struts 2.3.14.1; S2-009 ( CVE-2011-3923 CVE-2010-1870 ), устраненную 16 августа 2010 года в Struts 2.2.1.

Существование этого инструмента подтвердил эксперт Trend Micro Нориаки Хаяши (Noriaki Hayashi) 19 июля нынешнего года. «Мы исследовали атаки на системы в Азии, осуществленные при помощи специального инструмента для взлома, что стало доказательством активной эксплуатации уязвимостей в Apache Struts», - сообщил эксперт.

Взломав однажды при помощи указанного инструмента сервер на базе Linux или Windows, злоумышленники могут выполнять команды для получения информации об операционной системе сервера, структуре каталога, активных пользователях и конфигурации сети.

По словам Хаяши, инструмент также позволяет злоумышленникам устанавливать в качестве бэкдора так называемую web-оболочку JspWebShell, предоставляющую им постоянный доступ к серверам для выполнения других команд. Web-оболочки с более расширенными возможностями, позволяющие злоумышленникам находить и похищать информацию со взломанных серверов, легко доступны на хакерских форумах. В связи с этим, Хаяши настоятельно рекомендовал обновить Apache Struts до последней версии.