Lỗ hổng trong Apache Struts bị khai thác

Lỗ hổng ảnh hưởng tới các phiên bản từ Struts 2.3 tới Struts 2.3.34, Struts 2.5 tới Struts 2.5.16 và có thể là cả các phiên bản khung (framework) không được hỗ trợ. Lỗ hổng này có mã định danh là CVE-2018-11776, không mấy quan trọng để khai thác vì Apache Struts không xác thực một cách hợp lệ dữ liệu đầu vào của không gian tên (namespace) nên tin tặc chỉ cần chèn namespace riêng của chúng như một tham số trong yêu cầu HTTP. Trong nhiều ngôn ngữ lập trình, không gian tên là ngữ cảnh cho các định danh (identifier). Trong các hệ điều hành, một ví dụ về không gian tên là thư mục. 

Cả tổ chức Phần mềm Apache (Apache Software Foundation) đã công bố các bản vá vào ngày 22/8 - cũng như cả công ty Semmle - công ty phân tích mã đã báo cáo về lỗ hổng này từ hồi tháng 4 – đã không cung cấp được các chi tiết kỹ thuật, nhưng một khai thác mã chứng minh khái niệm (proof-of-concept - PoC) đối với lỗ hổng này đã được công bố vài ngày sau đó.

Hiện nay, Volexity cho biết, công ty đã quan sát thấy chiến dịch độc hại đầu tiên nhắm vào lỗ hổng. Những cuộc tấn công rõ ràng đã bắt đầu ngay sau khi PoC được công bố. “Volexity đã quan sát thấy ít nhất một tác nhân đe dọa cố gắng khai thác CVE-2018-11776 để cài đặt trình đào tiền điện tử CNRig. Theo quan sát, khai thác này ban đầu khởi nguồn từ các địa chỉ IP 95.161.225.94 và 167.114.171.27 của Nga và Pháp”

Những nỗ lực khai thác được quan sát cho thấy nỗ lực lấy một bản sao của máy đào tiền điện tử CNRig từ Github (lưu dưới dạng xrig) và một tập lệnh shell(chương trình giao tiếp với người dùng)từBitBucket bằng cách thực hiện các yêu cầu wget (1 tiện ích chạy trên môi trường dòng lệnh) tới 2 phần mã nằm tại các URL.

Trong các hoạt động khác, tập lệnh shell xóa bỏ những tiến trình cụ thể, xóa những dấu vết trước đây của máy đào tiền ảo và tải về 3 trình nhị phân khai thác tiền ảo ELF. Đây là những khai thác máy đào tiền ảo nhắm mục tiêu vào Intel, các kiến trúc ARM (Acorn RISC Machine của ARM Holding) và MISP (kiến trúc bộ tập lệnh RISC phát triển bởi MIPS Technologies). Điều này cho thấy phạm vi rộng của các cuộc tấn công.

Volexity cũng chỉ ra rằng: “Khai thác có khả năng chạy trên nhiều loại phần cứng, máy chủ, máy tính để bàn, máy tính xách tay, các thiết bị IoT, bộ định tuyến không dây và nhiều thứ khác - gần như mọi thiết bị kết nối Internet nào đang chạy phiên bản có chứa lỗ hổng của Apache Struts”.

Hãng bảo mật cho biết, thư mục BitBucket giống như một thư mục mở chứa cả tập lệnh shell và trình nhị phân ELF. Tên tài khoản khai thác trùng với tên tài khoản BitBucket.

Tính phổ biến của Apache Struts framework khiến nó trở thành mục tiêu hấp dẫn của các tội phạm mạng và không có gì ngạc nhiên khi lỗ hổng đã được xử lý gần đây lại bị lợi dụng cho mục đích độc hại.

Cách đây vài tháng, người phụ trách SANS Internet Storm Center, một tổ chức giám sát quốc tế cho biết lỗ hổng thực thi mã từ xa quan trọng được xử lý trong framework từ hồi tháng 3 năm 2017 vẫn là mục tiêu bị nhắm đến sau 1 năm.