Обнаружена серьезная уязвимость в Apache Struts


Digital SecurityСпециалистами компании Digital Security была обнаружена опасная уязвимость в Apache Struts, Java-фреймворке с открытым исходным кодом. Обнаруженная уязвимость активно эксплуатируется китайскими хакерами.

Фреймворк Apache Struts - фреймворк, самый распространенный на сегодняшний день, и использующийся для построения крупных веб-сайтов, а также являющийся частью приложений корпоративного уровня. Apache Struts с успехом применяется во многих платежных веб-приложениях, включая банк-клиенты. Известно, что им пользуются Qiwi, "Альфа-Банк".

16 июля была обнаружена довольно серьезная уязвимость в Struts 2, приводящая к удаленному выполнению произвольного кода на сервере. И уже через несколько дней был создан эксплойт под данную уязвимость, в результате чего началась массовая волна атак на различные компании. Атаки наблюдались в основном из Китая. В результате нападениям подверглись компании:

  • Apple;
  • Nokia;
  • Samsung.


Российские подразделения этих корпораций, а также различные финансовые организации тоже были атакованы.

Основная опасность новой уязвимости Apache Struts заключается:

  • в простоте ее эксплуатации;
  • в отсутствии обязательной аутентификации в системе;
  • ей подвержены все продукты второй ветки Struts, для которых не установлено последнее обновление.


Другими словами, если злоумышленник подключится к веб-серверу со Struts 2 без соответствующего патча, он может захватить полный контроль над веб-сервером. А самое интересное в том, что процесс поиска и эксплуатации уязвимости уже полностью автоматизирован.

По причине того, что многие компании не осведомлены о возможных проблемах и о том, что существует возможность атаки через уязвимости в фреймворке, злоумышленники могут плавно проникать в системы и закрепляться там.

Уязвимости в Struts - лакомный кусок для хакера, а их использование не представляет большого труда. Поэтому необходимо как можно быстрее установить обновления на Struts 2, однако перед установкой необходимо убедиться, что в систему не было совершено проникновение.


Обновлено (28.07.2013 04:50)