中国地下市场出现了攻击Apache Struts漏洞的工具, 可让攻击者在目标服务器上执行任意指令

        大约在一个月前，Apache软件基金会发布了Struts 2.3.15.1，这是受欢迎的Java Web应用程序开发框架的更新版本。此修补程序的推出是因为旧版本Struts内的漏洞可以让攻击者在有漏洞的服务器上执行任意程序代码。

        趋势科技已经发现中国的地下黑客开发了自动化工具去攻击这些旧版本Struts的漏洞。我们首先在七月十九日确认了这些工具的存在，这是漏洞被披露的仅仅三天之后。

图一、黑客工具的广告

像这样的黑客工具可以在APT-进阶持续性渗透攻击 (AdvancedPersistent Threat, APT)目标攻击里提供多种用途，例如：

§ 获取目标的相关信息

§ 取得和维护通往目标系统和网络的访问控制

§ 窃取资料

§ 清除攻击证据

 

        趋势科技已经观察到这特定黑客工具被用在对亚洲目标的攻击上，表示这些Struts漏洞已经在真实世界里被用在攻击上。

 

        黑客工具本身

这个黑客工具针对了几个Struts不同的漏洞。可以用Apache发行公告编号和CVE编号来确认：

§ S2-016（CVE-2013-2251）

§ S2-013（CVE-2013-1966）

§ S2-009（CVE-2011-3923）

§ S2-005（CVE-2010-1870）

如果这些漏洞遭受到攻击，就可以让攻击者在目标服务器上执行任意指令。为了证明这工具的能力，我们在测试环境内对一个有漏洞的Struts进行测试。

 

图二、黑客工具的使用接口

在目标服务器执行此工具时会自动进行某些指令。其中一个预先设定的指令是whoami，可以显示出目标服务器目前账号的信息。

图三、产生的网络流量内容

 底下是可执行指令的完整列表：

表一、内建指令

建立一个后门

攻击者对于有漏洞服务器的目标之一是建立起后门。这些后门让攻击者可以取得和保持对服务器的访问控制，可以在需要时加以利用。而这工具可以让攻击者轻松地做到这一点。

黑客工具包含了一个「WebShell」功能，让攻击者可以很容易就在目标系统内植入后门程序和Web Shell。这些Web Shell让下指令到后门更加容易，因为可以直接用浏览器接口做到。

有各种Web Shell提供给使用不同框架的服务器（例如PHP和ASP.NET），不过在这起案例中，因为Struts本身是支持Java的应用程序框架，攻击者可以安装JspWebShell，这是一个用JavaServer Pages（JSP）编写兼具web shell和后门功能的程序。

图四、提供WebShell功能的黑客工具

底下截图显示JspWebShell存取服务器的文件系统

图五、JspWebShell的使用接口

在地下市场里可以很容易就找到具有更强功能的Web Shell，像是从放置后门的服务器上搜寻和偷窃数据。

总结

综合上面所述，我们对于这黑客工具知道些什么？

§ 它在漏洞披露后三天就推出了。

§ 它可以轻易地在目标服务器上执行操作系统指令。

§ 只要点几下鼠标就可能在目标服务器上建立一个后门/Web Shell，以取得和维持存取能力。

§ Web Shell在不断发展中，会继续加入些必要功能。

         正如我们前面所提到，这个漏洞已经被修补，并且发布了新版本的Struts（2.13.15.1）。有些应用程序可能会无法使用，因为去除掉一些现今版本上有漏洞的功能。尽管如此，Apache已经「强力建议」布署这更新。一个可能会被攻击成功的风险要大于修改已部署应用程序带来的不便。

        我们提供了多种解决方案来对抗这威胁。趋势科技Deep Security的用户有多个规则可以封锁攻击Struts的漏洞程序代码，并且过滤相关的恶意封包。此外，我们会将植入受影响网站的后门程序侦测为HKTL_ACTREDIR JS_SPRAT.SM。

黑客工具样本的哈希值如下：

§ MD5：4674D39C5DD6D96DFB9FF1CF1388CE69

§ SHA1：9C6D1700CF4A503993F2292CB5A254E4494F5240

原文出处：ChineseUnderground Creates Tool Exploiting Apache Struts Vulnerability作者：Noriaki Hayashi（资深威胁研究员）