Lỗ hổng trong Apache Struts bị khai thác

Linh Anh| 31/08/2018 09:49
Theo dõi ICTVietnam trên

Volexity, công ty chuyên về tình báo các mối đe dọa, vừa cảnh báo một lỗ hổng thực thi mã từ xa trong Apache Struts 2 được vá tuần trước. Lỗ hổng này đã bị lợi dụng trong các cuộc tấn công mã độc.

Lỗ hổng ảnh hưởng tới các phiên bản từ Struts 2.3 tới Struts 2.3.34, Struts 2.5 tới Struts 2.5.16 và có thể là cả các phiên bản khung (framework) không được hỗ trợ. Lỗ hổng này có mã định danh là CVE-2018-11776, không mấy quan trọng để khai thác vì Apache Struts không xác thực một cách hợp lệ dữ liệu đầu vào của không gian tên (namespace) nên tin tặc chỉ cần chèn namespace riêng của chúng như một tham số trong yêu cầu HTTP. Trong nhiều ngôn ngữ lập trình, không gian tên là ngữ cảnh cho các định danh (identifier). Trong các hệ điều hành, một ví dụ về không gian tên là thư mục. 

Cả tổ chức Phần mềm Apache (Apache Software Foundation) đã công bố các bản vá vào ngày 22/8 - cũng như cả công ty Semmle - công ty phân tích mã đã báo cáo về lỗ hổng này từ hồi tháng 4 – đã không cung cấp được các chi tiết kỹ thuật, nhưng một khai thác mã chứng minh khái niệm (proof-of-concept - PoC) đối với lỗ hổng này đã được công bố vài ngày sau đó.

Hiện nay, Volexity cho biết, công ty đã quan sát thấy chiến dịch độc hại đầu tiên nhắm vào lỗ hổng. Những cuộc tấn công rõ ràng đã bắt đầu ngay sau khi PoC được công bố. “Volexity đã quan sát thấy ít nhất một tác nhân đe dọa cố gắng khai thác CVE-2018-11776 để cài đặt trình đào tiền điện tử CNRig. Theo quan sát, khai thác này ban đầu khởi nguồn từ các địa chỉ IP 95.161.225.94 và 167.114.171.27 của Nga và Pháp

Những nỗ lực khai thác được quan sát cho thấy nỗ lực lấy một bản sao của máy đào tiền điện tử CNRig từ Github (lưu dưới dạng xrig) và một tập lệnh shell(chương trình giao tiếp với người dùng)từBitBucket bằng cách thực hiện các yêu cầu wget (1 tiện ích chạy trên môi trường dòng lệnh) tới 2 phần mã nằm tại các URL.

Trong các hoạt động khác, tập lệnh shell xóa bỏ những tiến trình cụ thể, xóa những dấu vết trước đây của máy đào tiền ảo và tải về 3 trình nhị phân khai thác tiền ảo ELF. Đây là những khai thác máy đào tiền ảo nhắm mục tiêu vào Intel, các kiến trúc ARM (Acorn RISC Machine của ARM Holding) và MISP (kiến trúc bộ tập lệnh RISC phát triển bởi MIPS Technologies). Điều này cho thấy phạm vi rộng của các cuộc tấn công.

Volexity cũng chỉ ra rằng: “Khai thác có khả năng chạy trên nhiều loại phần cứng, máy chủ, máy tính để bàn, máy tính xách tay, các thiết bị IoT, bộ định tuyến không dây và nhiều thứ khác - gần như mọi thiết bị kết nối Internet nào đang chạy phiên bản có chứa lỗ hổng của Apache Struts”.

Hãng bảo mật cho biết, thư mục BitBucket giống như một thư mục mở chứa cả tập lệnh shell và trình nhị phân ELF. Tên tài khoản khai thác trùng với tên tài khoản BitBucket.

Tính phổ biến của Apache Struts framework khiến nó trở thành mục tiêu hấp dẫn của các tội phạm mạng và không có gì ngạc nhiên khi lỗ hổng đã được xử lý gần đây lại bị lợi dụng cho mục đích độc hại.

Cách đây vài tháng, người phụ trách SANS Internet Storm Center, một tổ chức giám sát quốc tế cho biết lỗ hổng thực thi mã từ xa quan trọng được xử lý trong framework từ hồi tháng 3 năm 2017 vẫn là mục tiêu bị nhắm đến sau 1 năm.

Nổi bật Tạp chí Thông tin & Truyền thông
  • "Báo chí trong kỷ nguyên mới phải sáng tạo, đổi mới mạnh mẽ"
    Phó Trưởng ban Tuyên giáo và Dân vận Trung ương Phan Xuân Thuỷ nhấn mạnh: Báo chí trong kỷ nguyên mới phải sáng tạo, đổi mới mạnh mẽ để đáp ứng nhu cầu của công chúng, theo kịp sự phát triển của thời đại, công cuộc chuyển đổi số của đất nước.
  • 75 năm thành lập Hội Nhà báo Việt Nam: Những truyền thống vẻ vang
    Cách đây 75 năm, ngày 21/4/1950, tại xóm Roòng Khoa, xã Ðiềm Mặc, huyện Ðịnh Hóa, tỉnh Thái Nguyên đã diễn ra Đại hội thành lập Hội Những người viết báo Việt Nam, nay là Hội Nhà báo Việt Nam.
  • Báo chí trong bối cảnh bùng nổ mạng xã hội và chuyển đổi số
    Báo chí là một trong những loại hình phương tiện truyền thông đại chúng hiện đại. Các tác phẩm, sản phẩm báo chí luôn phải mang đến công chúng những giá trị thông tin thời sự, chân thật, khách quan về các sự kiện, vấn đề diễn ra trong đời sống xã hội. Dù trong bối cảnh phát triển nào thì các loại hình báo chí vẫn đóng vai trò quan trọng là phương tiện truyền thông chủ lực, thiết yếu dẫn dắt, định hướng dư luận xã hội.
  • Duy trì cam kết với cổ đông, VPBank năm thứ 3 liên tiếp trả cổ tức tiền mặt
    Năm thứ 3 liên tiếp, VPBank dự kiến duy trì chính sách cổ tức tiền mặt, thể hiện năng lực tài chính vững mạnh, chiến lược tăng trưởng hợp lý và cam kết mang lại lợi ích lớn nhất cho cổ đông.
  • Cảnh báo lợi dụng hình thức "xe ôm công nghệ" để lừa đảo
    Công an thành phố Hà Nội cho biết thời gian qua, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an thành phố đã xử lý nhiều vụ việc liên quan đến hành vi chiếm đoạt tài sản của khách hàng do các đối tác tài xế xe công nghệ thực hiện.
Đừng bỏ lỡ
Lỗ hổng trong Apache Struts bị khai thác
POWERED BY ONECMS - A PRODUCT OF NEKO