思科Talos针对Apache Struts高危漏洞(S2-045) 的防护建议

Posted 2021-04-28 思科网络通信

近日 Apache 官网发布公告，公布最新的 Apache Struts 漏洞，该漏洞（CVE-2017-5638） 会影响 Apache Struts 中的 Jakarta Multipart 解析器。漏洞危害程度严重，可造成直接获取应用系统所在服务器的控制权限。

思科 Talos 开始调查并且发现了大量的针对此漏洞的渗透事件。大多数渗透尝试似乎是利用一个公开发布的 PoC 程序，用于对各网站 Web 服务器运行各种命令。Talos 已经观察到简单的命令（即 whoami）以及更复杂的命令，包括操控服务器让服务器下载恶意 ELF 可执行文件并执行。

事件时间轴

Apache 的官方安全公告发布于 3/6/2017，接下来是攻击的漏洞代码 PoC 的发布时间。它发布于 03-07-2017 下午。在此期间，Talos 团队监测到了大量针对性的持续入侵事件， 可能原因是 PoC 程序发布后降低了入侵难度，在 Internet 上存在大量服务器系统存在此漏洞并且非常容易被利用。

 

渗透方式

 

下面是一个简单的探测漏洞的例子，它通过修改 HTTP 数据包头，对 Web 服务器执行一个简单的基于 Linux 的命令，检查系统是否容易受到攻击。

在这个例子中，你可以看到利用这个工具，攻击者可以对 Web 服务器下达指令。这里只是运行一个简单的命令 'whoami'，可以看到这个服务器正在运行什么用户，理想的是 root。如果识别出高级用户，攻击者可以返回更复杂的命令集。 Talos 还观察到其他命令正在运行，包括一个简单的 “ifconfig” 来收集网络信息。总之，这个漏洞非常危险，建议用户及时采取防护措施。

思科 Talos 对用户的建议

Apache 发布了某些版本的 Apache Struts（2.3.32 / 2.5.10.1或更高版本）不容易受到攻击和升级以缓解此问题。考虑到当前 Internet 上的大量渗透行为，以及服务器被渗透后产生的严重后果。强烈建议您立即升级。此外，思科 NGIPS / NGFW可以检测和防御。

Talos 通过大量分析漏洞攻击样本，与 2017 年 3 月 7 日发布了两个入侵防御规则来帮助用户阻止针对此漏洞的渗透及侵入（SID:41818, SID:41819）。请注意，其他规则可能会在未来的日期发布，并且当前规则可能会更改以等待额外的漏洞信息。有关最新的规则信息，请参考您的防御中心，FireSIGHT 管理中心或Snort.org。

 

思科以威胁防护为中心的集成架构解决方案可以为用户业务系统提供有效保护：

• Advanced Malware Protection (AMP) 非常适合防止利用这些威胁下载并执行恶意软件。

  
  

• 
  

• 网络安全产品 NGIPS 和 NGFW 通过及时更新特征库来保护服务器免受漏洞攻击。

  
  

• AMP Threat Grid 沙箱帮助快速标识恶意软件并与思科安全产品进行结合提高安全产品的恶意文件检测能力。

 

• Cisco Umbrella 阻止 DNS 解析到与此次事先相关的恶意域名。

原文参考文档，请戳原文！