Apache Struts-Schwachstelle CVE-2018-11776 aktiv genutzt

Kurze Information für Leute, die das Struts 2-Framework unter Apache einsetzen und die Schwachstelle CVE-2018-11776 noch nicht gepatcht haben. Diese Schwachstelle wird wohl aktiv ausgenutzt.

Worum geht es?

Struts 2-Framework waren von Remote Code Execution (RCE) Schwachstellen (CVE-2018-11776) in Struts 2.x bedroht. Zu der Schwachstelle wurde dann ein Security Bulletin S2-057 mit Details veröffentlicht. Ein Upgrade auf Apache Struts Version 2.3.35 oder 2.5.17 sollte die Schwachstelle schließen. heise.de hatte diesen Beitrag mit ein weiteren Informationen veröffentlicht.

Lücke wird aktiv ausgenutzt

Bleeping Computer berichtet hier, dass es bereits mehrere Proof of Concept (PoC) Scripte gibt, mit denen sich die Schwachstelle CVE-2018-11776 ausnutzen ließe. In einem Tweet weist man darauf hin, dass es ein entsprechendes Toolkit gäbe.

Someone has released a tool for automatically exploiting Apache Struts servers via 3 well-known RCEs:
CVE-2013-2251
CVE-2017-5638
CVE-2018-11776

Surprisingly, CVE-2017-9805 is not on there, despite being more recent and already-existing PoCshttps://t.co/4qgZJpVbYG pic.twitter.com/6y8vWXlaCE

— Catalin Cimpanu (@campuscodi) 27. August 2018

Zwei Cybersicherheitsfirmen, Greynoise Intelligence und Volexity, meldeten, dass sie seit letzter Woche Bedrohungsakteure entdeckt haben, die nach Struts-Servern suchen (es gab aber noch keine Angriffe).

GreyNoise has observed one (1) host (192.173.146.40) opportunistically testing sections of the Internet for the recent Apache Struts vuln (CVE-2018-11776), but no weaponized exploits have been observed yet. We will report when wide scale opportunistic exploitation is observed.

— GreyNoise Intelligence (@GreyNoiseIO) 24. August 2018

Das hat sich jetzt aber wohl seit dem 27. August 2018 geändert, wie Matthew Meltzer, Sicherheitsanalytiker bei Volexity, Bleeping Computer mitteilte. "Die ersten Angriffsversuche fanden gestern, am 27. August, statt", so Meltzer. Es werden Scans und Exploit-Versuche auf ziemlich breiter Front über eine breite Palette von geografisch verteilten Zielen beobachtet.

Over the past 24 hours GreyNoise has observed three (3) additional distinct hosts (202.189.2.94, 182.23.83.30, 95.161.225.94) crawl the Internet to test for this vulnerability as well, all using the same tooling. This indicates that these hosts are likely part of the same botnet pic.twitter.com/K7tg6mxDEs

— GreyNoise Intelligence (@GreyNoiseIO) 28. August 2018

Der Sicherheitsanbiete Greynoise bestätigt diese Beobachtung in obigem Tweet. Es ist also höchste Zeit (sofern noch nicht geschehen), seine Apache Struts-Installation zu aktualisieren.