来自Infosec的研究人员在Apache发现了一个0day漏洞,且它已被用于攻击中。
如果你是一名使用基于Jakarta文件上传Apache Struts2下Multipart解析器的系统管理员,思科Talos安全团队建议立即应用最新更新。该漏洞CVE-2017-5638记录在Rapid7的Metasploit框架的GitHub站点。
思科研究人员发现大量利用事件。多数利用尝试似乎在使用公开发布的用于运行多种命令的PoC利用代码。Qualys公司的安全人员指出漏洞很严重,因为它是一个“完全控制”性的漏洞。
这个漏洞由中国开发人员Nike Zheng首先报告出来,他指出攻击会向上传器发送一个无效的Content-Type值,从而释放提供远程代码执行的例外。
思科公布了漏洞被用于攻击系统的探查情况:
为查看系统是否易受攻击,探查运行了whoami。研究人员已发现恶意攻击关闭了目标上的防火墙进程并释放有效负载“这些有效负载已发生了变化但包含一个IRC bouncer,一个DoS自动程序以及跟比尔盖茨僵尸网络有关的一个样本”。研究人员指出还看到攻击者试图将持续性攻击释放到目标“攻击者试图将文件拷贝到一个非恶意目录中,之后确保系统引导时,可执行文件在运行而且防火墙服务会被禁用。”