مرکز آپا دانشگاه کردستان

حملات فعال با استفاده از آسیب‌پذیری Apache Struts تشخیص داده شد

پس از این‌که هفته گذشته یک محقق امنیتی، آسیب‌پذیری در نرم افزار بسیار محبوب Apache Struts را گزارش داد، این هفته تلاش برای بهره‌برداری از این آسیب‌پذیری با اکسپلویت‌های فعال آغاز شد. این آسیب‌پذیری با شناسه (CVE-2018-11776)، یک نقص برای اجرای کد از راه دور است که اجازه می‌دهد تا مهاجم کنترل برنامه‌های تحت وب Struts را در دست بگیرد. بر اساس آنالیزهای شرکت Palo Alto Networks، این آسیب‌پذیری قابلیت اکسپلویت شدن در پیکربندی پیش‌فرض Struts را ندارد اما بدلیل اینکه نرم‌افزار Struts توسط برخی از بزرگترین شرکت‌های جهان (از جمله Equifax، که در سال گذشته به علت نقص Struts دچار نفوذ اطلاعات عمده‌ای شده بود) استفاده می‌شود، این آسیب‌پذیری مورد توجه همه قرار گرفته است. در طول هفته قبل سندهای اثبات یا PoC script های زیادی برای این آسیب‌پذیری نوشته شد. در طول هفته گذشته، محققین امنیتی، اسکریپت‌های مختلف اثبات (PoC) زیادی را برای این آسیب‌پذیری (CVE-2018-11776) که شامل آموزش گام به گام آن هم می‌شد، ارائه کردند. یکی از این PoC ها هم در مجموعه اکسپلویت‌های نرم‌افزار Struts قرار داده شده است که شامل ترکیبی از آسیب‌پذیری‌های اجرای کد از راه دور نرم‌افزار Struts است که آرزوی هر هکری است. همچنین یک نفر ابزاری را برای اکسپلویت‌ کردن سرورهای Apache Struts ، از طریق 3 کد اجرای از راه دور معروف زیر ارائه کرده است : CVE-2013-2251 CVE-2017-5638 CVE-2018-11776 به شکل ناباورانه آسیب‌پذیری، CVE-2017-9805 در بالا وجود ندارد، گرچه اخیرا PoCs آن در دسترس قرار گرفته بود. اما علی‌رغم انتشار بسیاری از ابزارهای هک کردن و PoC های زیاد برای نرم‌افزار Struts، حملات به این برنامه بلافاصله اتفاق نیفتاد و دو شرکت امنیتی، Greynoise Intelligence و Volexity اعلام کردند که در هفته گذشته عاملان تهدید فقط در حال اسکن سرورهای Struts بوده‌اند و هیچگونه تلاشی برای بهره‌برداری و یا اکسپلویت را شناسایی نکرده‌اند. اولین حملات دیروز اتفاق افتاد متئو ملزر، تحلیلگر امنیتی شرکت Volexity ، در مصاحبه با سایت Bleeping Computer گفت که نخستین تلاش‌ها برای اکسپلویت روز گذشته انجام شد که شامل اسکن و اکسپلویت از مجموعه‌ای گسترده از اهداف پراکنده جغرافیایی بود. شرکت Greynoise هم امروز صبح صحبت‌های متئو ملزر را تایید کرد و افزود : اسکن و تلاش برای اکسپلویت از طریق این آسیب‌پذیری از چهار آی‌پی ثبت شده است، که کارشناسان شرکت معتقدند که همگی بخشی از یک بات‌نت مشترک هستند. 182.23.83.30 202.189.2.94 192.173.146.40 95.161.255.94 شرکت Volexity در گزارشی در وبلاگ خود نیز تأیید کرد که برخی از اسکن‌ها از آی‌پی‌های 95.161.255.94 و 167.114.171.27 بوده است که هر دو آی‌پی منبع بسیاری از عملیات‌های اسکن در اینترنت هستند. متئو ملتزر افزود : در طول سال گذشته هر دو آدرس آی‌پی به طور فعال در حال انجام عملیات‌های اسکن در اینترنت بوده‌اند. مهاجمان سرور‌ها را با استخراج‌کننده‌های ارز مجازی یا coinminer آلوده کردند. محققان شرکت Volexity پس از تجزیه و تحلیل قادر به مشخص کردن ماهیت دقیق این حملات شدند. این شرکت اعلام کرد که مهاجمان پشت این حملات با استفاده از آسیب‌پذیری جدید از طریق برنامه Struts اقدام به آلوده کردن سرور پایه با استفاده از استخراج کننده CNRig cryptocurrency که از یک مخزن BitBucket دانلود شده بود، کردند. در حال حاضر، حملات در مقیاس کوچک انجام می‌شوند، و مهاجمان بیشتر در حال اسکن برای پیدا کردن آسیب‌پذیری‌های دیگر هستند و تا به حال اکسپلویت‌های قابل توجه و در مقیاس وسیعی مشاهده نشده است. دلیل این امر همانطور که محققان شرکت Palo Alto Networks هم اشاره کرده‌اند این است که نرم‌افزارهای Struts در تنظیمات پیش فرض نسبت به آسیب‌پذیری CVE-2018-11776 آسیب پذیر نیستند، به این معنی که سرورها کمتر احتمال آسیب‌پذیری دارند و در نتیجه تلاش بسیاری از مهاجمان بی‌نتیجه می‌ماند. مهاجمان همچنین درحال جستجو آسیب‌پذیری‌ها و نقص‌های گذشته این نرم‌افزار می‌باشند. جالب است که مهاجمان علاقه زیادی به این آسیب‌پذیری جدید CVE-2018-11776 نشان نمی‌دهند و بیشتر به ضعف‌های قدیمی نرم‌افزار Struts علاقه‌مندند و این آسیب‌پذیری جدید بیشتر باعث افزایش توجه مهاجمان به این نرم‌افزار و نقص‌هایش شده است و اسکن برای آسیب‌پذیری‌های قبلی این نرم‌افزار نسبت به قبل افزایش یافته است. پس اگر تصمیم به نصب وصله‌های جدید نرم‌افزار Struts دارید، عاقلانه است که وصله‌های مربوط به نقص‌های قدیمی‌تر مانند CVE-2013-2251، CVE-2017-5638 و CVE-2017-9805 را نیز استفاده کنید. آسیب‌پذیری فعلی و اخیر نرم‌افزار Struts، نسخه‌های 2.3 تا 2.3.34 و 2.5 تا 2.5.16 این برنامه را شامل می‌شود. تیم Apache Struts با انتشار وصله برای نسخه 2.3.35 و 2.5.17 این مسئله را رفع کرده است و شما می‌توانید آن را دانلود و نصب کنید.