中国黑客现在正是用一个自动工具利用Apache Struts中的已知漏洞,目的是在用这个框架开发的用于托管应用的服务器上安装后门。
Apache Struts是一个非常常见的开源框架,可用于开发基于Java的Web应用,这个框架由Apache Softwware Foundation维护。
研究员透露,黑客现在正非常积极地利用这些漏洞。而研究员们在一个隐秘的中国论坛上发现了一款工具,此工具可针对有漏洞的Struts发起自动攻击。
这款工具利用以下Struts漏洞来损坏服务器:S2-016 (CNNVD-201307-308), 在7月16号发布的 Struts 2.3.15.1 中已得到修复; S2-013 (CNNVD-201305-493), 在5月22号发布的Struts 2.3.14.1 中已得到修复; S2-009 (CNNVD-201202-031), 在2012年1月的Struts 2.3.1.2 已被修复; 还有S2-005 (CNNVD-201008-173), 在2010年8月16号发布的Struts 2.2.1 中已被修复。
一旦有黑客用Struts工具进入了Linux或Windows服务器,他们可以执行预配置命令,这样就可以提取服务器操作系统,目录结构,活跃用户和网络配置的相关信息。
这款工具还可以让攻击者植入所谓的Web Shell充当后门,使他们可以持续访问服务器执行其他命令。该工具安装的Web Shell被称为JspWebShell,是用JavaServer Pages编码。功能更强大的Web Shell在黑客论坛上也是可以轻易获取的,黑客可以利用这些工具从已被侵入的服务器上搜寻并窃取信息。
Struts 2.3.15.1,目前是最安全的版本,此版本去除了若干有漏洞的特性,如“DefaultActionMapper类的redirect:”和“redirectAction:”前缀。Struts程序员警告称,升级到此版本或许会影响到一些依赖这些特性的应用,所以他们推荐用修补后的导航规则替换已被弃用的前缀。
