Usamos cookies propias y de terceros que entre otras cosas recogen datos sobre sus hábitos de navegación para mostrarle publicidad personalizada y realizar análisis de uso de nuestro sitio.
Si continúas navegando consideramos que aceptas su uso. OK Más información | Y más

Vulnerabilidad en Apache Struts compromete a miles de servidores

By.... 4uxx
10 de marzo de 2017








Talos el equipo de seguridad de Cisco,  ha observado ataques activos contra una vulnerabilidad 0day  en Apache Struts la vulnerabilidad corresponde a (CVE-2017-5638). Cisco investigó la vulnerabilidad poco después de  una serie de ataques alrededor del mundo.

Según los investigadores, el problema es una vulnerabilidad de ejecución remota de código en el analizador Jakarta multipart de Apache Struts que podría permitir a un atacante ejecutar comandos maliciosos  en el servidor como por ejemplo  payloads.




Con la explotación de este 0day Talos recomienda realizar actualización inmediatamente si es posible.

"Si está utilizando analizador de carga de archivos multiparts basada en Jakarta, Es sumamente necesario actualizar a la versión 2.3.32 de Apache Struts o 2.5.10.1. También puede cambiar a una aplicación diferente analizando multipart/form-data ".

Además, los administradores preocupados por la cuestión sólo podría aplicar las actualizaciones adecuadas, que están disponibles en la actualidad.

En una entrada del blog de Cisco dijo que descubrieron una serie de ataques que parecen estar aprovechando una prueba de concepto-lanzado públicamente para ejecutar varios comandos. Dichos comandos incluyen los simples ( 'whoami'), así como otros más sofisticados, incluyendo un pulling down ejecutable ELF malicioso y ejecutarlo.


Como se  muestra en un ejemplo de algunos ataques de pruebas simples se verifica  si un sistema es vulnerable mediante la ejecución de un simple comando de en Linux.




Este es otro ejemplo de un ataque activo que tiene un poco más de trabajo mediante un payload malicioso.




Los pasos incluyen detener el firewall de Linux, así como el firewall de SUSE Linux. Los pasos finales incluyen la ejecucion de un payload malicioso desde un servidor web los payloads son varios pueden incluir gorilla IRC, bots para DDOS, etc.

Así se podrían ir viendo varias formas de comprometer el servidor como lo hace saber en su blog Talos, la vulnerabilidad se puede encontrar en el aviso de seguridad.

Fuente: Talos


Etiquetas: , , ,

0 comentarios :

>

Publicar un comentario

Suscribirse a: Enviar comentarios ( Atom )
 
Copyright © Developers For Life