HiNet SOC (更新)Apache Struts 之S2-045、S2-046弱點可被駭客進行零時差攻擊

HiNet SOC (更新)Apache Struts 之S2-045、S2-046弱點可被駭客進行零時差攻擊

風險等級:緊急狀態

【弱點說明】

根據Apache 更新公告(S2-045、S2-046),
駭客可透過http request上傳已修改好的惡意Content-Type、Content-length、
Content-Disposition語法,取得目標網站之控制權。

另外,駭客更可透過google語法,先進行index:action 大量掃描目標網站IP,
接著透過工具或自寫程式送出http request 惡意內容,
即可遠端執行任意程式於受害主機上(ex: cat /etc/passwd 等等),
或可取得攻擊目標主機資料夾重要檔案。

HiNet SOC目前已驗證攻擊手法可成功運作,
受到影響的版本為Struts 2.3.31與Struts 2.5.10 ,
另外研究人員掌握國外有效情資,
目前已有多個攻擊IP持續掃描攻擊,
HiNet SOC 建議管理者應儘速上網更新與阻擋可能攻擊IP,以降低受駭風險。

【影響範圍】

Apache struts 2.3.5~2.3.31
Apache struts 2.5~2.5.10

【細節描述】

駭客可透過工具程式,對目標網站送出http Request類似封包如下,
進而造成目標主機Content-Type未定義之文件類型與
Jakarta Multipart parser之漏洞攻擊成功,即可對目標主機遠端執行任意程式:

管理者可先自行確認Struts2 版本確認方式如下:
1.MANIFEST.MF 檔案中Bundle-Version說明目前使用版本
2./tomcat/webapps/struts2-showcase/WEB-INF/lib/struts2-core-版本號碼.jar
HiNet SOC 建議管理者應儘速確認主機是否已完成更新,
並請盡速評估是否更新Apache Struts 2.3.32或Apache Struts 2.5.10.1以後版本。

【建議措施】
1.IPS、WAF、測試工具偵測S2-045內容規則如下,請參考

2.S2-046版本目前尚無釋出規則,HiNet-SOC會密切注意是否有新的IPS&WAF規則釋出,在進行公告通知

【參考資料】

GitHub https://github.com/Flyteas/Struts2-045-Exp
piyolog http://d.hatena.ne.jp/Kango/20170307/1488907259
Hatena Blog http://tigerszk.hatenablog.com/entry/2017/03/08/063334
Apache S2-045 https://cwiki.apache.org/confluence/display/WW/S2-045
GitHub https://github.com/tengzhangchao/Struts2_045-Poc
Snort https://www.snort.org/advisories/talos-rules-2017-03-07-3-7-2017
Apache S2-046 https://cwiki.apache.org/confluence/display/WW/S2-046
Hewlett Packard Enterprise https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#.WNCs32997IU
GitHub https://gist.github.com/frohoff/a3e24764561c0c18b6270805140e7600#file-exploit-cd-sh-L5

【更新紀錄】
v1.0 (2017/03/08):發佈事件通告。
v2.0 (2017/03/21):發佈事件更新資料通告。