Hackers exploram brecha no Apache Struts para atacar servidores web corporativos
Vulnerabilidade é muito fácil de explorar e permite que hackers executem comandos do sistema com os privilégios do usuário que está realizando o processo no servidor web
Hackers estão explorando uma vulnerabilidade de uma atualização recente no Apache Struts que lhes permite executar remotamente programas mal-intencionados em servidores web.
O Apache Struts é um framework de desenvolvimento web de código-fonte aberto para aplicações em Java.
Ele é amplamente utilizado para criação de sites corporativos em setores como educação, governo, serviços financeiros, varejo e mídia.
Na segunda-feira, 6, os desenvolvedores do Apache Struts corrigiram uma vulnerabilidade de alto impacto na estrutura do framework do Jacarta Multipart.
Horas depois, um exploit para a falha apareceu em sites de língua chinesa e quase imediatamente efetuaram ataques, de acordo com pesquisadores da Cisco Systems.
A vulnerabilidade é muito fácil de explorar e permite que hackers executem comandos do sistema com os privilégios do usuário que está realizando o processo no servidor web.
Se o servidor estiver configurado para executar como root, processo que gera permissões de administrador, o sistema é completamente comprometido.
Executar o código como um usuário com privilégios inferiores também é uma ameaça séria de segurança.
O que é pior é que a aplicação web desenvolvida em Java não precisa mesmo implementar a funcionalidade de upload de arquivos através do analisador do Jacarta Multipart para ser vulnerável.
De acordo com pesquisadores da Qualys, a simples presença no servidor web deste componente, que é parte inerente do framework Apache Struts, é suficiente para permitir a exploração.
"É desnecessário dizer que achamos que esta é uma questão de alta prioridade e a consequência de um ataque bem-sucedido é terrível", disse Amol Sarwate, diretor dos laboratórios de vulnerabilidade da Qualys, em um post no blog da empresa.
Empresas que usam o Apache Struts em seus servidores web devem atualizar o framework para versões 2.3.32 ou 2.5.10.1 o mais rápido possível.
Pesquisadores da Cisco Talos identificaram "um elevado número de eventos de exploração".
Alguns deles apenas executam o comando “whoami” do Linux (que mostra o usuário atual do sistema) para determinar os privilégios de usuário do servidor web e provavelmente são utilizados para sondagem inicial.
Outros vão mais longe e interrompem o firewall Linux e depois baixam um arquivo executável de extensão ELF que é processado no servidor.
"As cargas têm variado, mas incluem um script IRC, um bot DoS e uma amostra relacionada com o botnet bill gates", disseram os pesquisadores da Talos em um post no blog da empresa.
De acordo com os pesquisadores é um pouco incomum que ataques comecem logo depois que a falha é anunciada e ainda não está claro se um exploit para a vulnerabilidade já existia em círculos fechados antes de segunda-feira.
Os usuários que não têm como fazer uma atualização imediata do Struts para corrigir a brecha podem aplicar uma solução alternativa que consiste em criar um filtro de servlet para content-type que irá descartar quaisquer pedidos que não tiverem correspondência multipart/formulário de dados.
Regras de firewall para aplicativos web para bloquear essas solicitações também estão disponíveis em vários fornecedores.
Fonte: ComputerWorld
Lucian Constantin – IDG News Service