وقد كشف الباحثون قراصنة استغلال بنشاط خلل رمز تنفيذ المقيمين في أباتشي الدعامات تطبيق 2 الويب إطار يمكن أن تؤثر على عشرات الآلاف من التطبيقات في جميع أنحاء الإنترنت.
أباتشي Struts2 هو إطار تطوير الشبكة مفتوحة المصدر لتطبيقات الويب جافا. انها تستخدم على نطاق واسع لبناء المواقع الإلكترونية للشركات في القطاعات بما فيها التعليم، والحكومة، والخدمات المالية، وتجارة التجزئة وسائل الإعلام. لاحظ سيسكو تالوس في داخل البرية الهجمات التي يسمح بتنفيذ مصادق بعد الكود (آر سي أي)، التي تسمح للمهاجمين إما التحقيق و exfiltrate البيانات، أو توزيع البرامج الضارة. سيسكو قال أن الحمولات التي يجري تسليمها تختلف إلى حد كبير.
مشروع باستخدام هايزنبرغ شبكة الأبحاث مصيدة لها، Rapid7 شهدت في الوقت نفسه بعض استغلال الضعف لتشغيل "غير مؤذية" أوامر مثل الاختلافات الهواز، إفكونفيغ، وزوجين أن ردد قيمة. على الرغم من أن الأوامر لم تكن مدمرة، وأنها قد تكون جزءا من الجهود البحثية لفهم عدد الجنود عرضة على شبكة الإنترنت العامة أو محاولة جمع المعلومات كجزء من التحضير للهجوم في وقت لاحق.
"، وفي سياق هذا الضعف، وكنا نحذر بشدة أن هذه 'الأوامر غير مؤذية" هي في الواقع تعمل لتحديد ما إذا كان الهدف هو عرضة "قال توم البائعين، تحليل التهديدات والباحث الأمني في Rapid7. واضاف" انها جيدة في عالم احتمال أننا نراقب المهاجمين العمل على فهم عدد الجنود عرضة على شبكة الانترنت العام على أنها محاولة جمع المعلومات التي هي جزء من الإعداد لهجوم في وقت لاحق ".
الغالبية العظمى من محاولات استغلال الخلل يبدو أن الاستفادة من دليل على إصداره علنا من مفهوم (اضغط لتتحدث) والذي يتم استخدامه لتشغيل الأوامر المختلفة، وفقا للباحثين.
Veracode، لاحظت منظمة السياحة القبرصية والمؤسس المشارك كريس Wysopal، الذي يطلق عليه عيب الدعامات للصدمة أن هذا النوع من الترميز المشكلة يمكن أن تكون له عواقب واسعة. الاستخدام المكثف لعناصر يمكن أن يسبب الضعف لتصبح على نطاق واسع. مرة واحدة ما كان قد تم عزلها لتطبيق واحد، والآن يمكن أن تؤثر على عشرات الآلاف من التطبيقات.
وقال "مكونات المصدر المفتوح وطرف ثالث مثل أباتشي الدعامات 2 هي جزء حيوي من تطوير البرمجيات، ولكن عدم وضوح الرؤية في استخدام هذه المكونات تمثل المخاطر النظامية في الاقتصاد الرقمي"، كما عبر البريد الإلكتروني. "في هذه الحالة، أي شخص باستخدام الإصدارات الضعيفة من طراز أباتشي الدعامات 2 في خطر الوقوع ضحية لضعف الدعامات للصدمة. التحدي مع الدعامات للصدمة، وهو ضعف حقن الأوامر، هو أنه لا يعتمد على أي فئة أو codepath، مما يجعل من قضية أكثر انتشارا بشكل متزايد. في حين قدم التصحيح متاح في الاثنين، فإننا نتوقع أن نرى ذيل طويل الشركات المتبقية عرضة لأنها لم تتمكن من العثور حيث تستخدم عنصر ".
يجب شبكة ونظام أصحاب استعراض بيئاتها وترقية كافة المضيفين الضعفاء، وهو للأسف القول أسهل من الفعل.
"الترقيع ثغرة في مكون المستخدمة في تطوير الشبكة يتطلب فريق التطوير إلى إعادة ترجمة التطبيقات"، وقال Wysopal. "هذا يمكن أن تؤخر الوقت الذي يستغرقه للحصول على ضعف علاجها. وبالإضافة إلى ذلك، قد تم الانتهاء العديد من التطبيقات الضعيفة ولم نر التنمية لسنوات. هذا يعني أن العملاء لا تحتاج فقط إلى تحديد تلك التطبيقات ولكن تحتاج إلى العثور على رمز الأصلي وإعادة بناء التطبيقات مع المكون الدعامات 2 الثابتة. هذا ما حدث مع هارتبليد، ويمكننا أن نتوقع أن نرى نفس الشيء مرة أخرى ".
إذا لم يتمكنوا من الترقية فورا، يجب على المسؤولين التحقيق في جهود التخفيف أخرى، مثل تغيير قواعد جدار الحماية أو [ألكس معدات الشبكات للحد من المخاطر، وتجنب تعريض الخدمات إلى الشبكات العامة إذا كان ذلك ممكنا.
0 التعليقات:
إرسال تعليق