مهاجمان با Exploit کردن آسیبپذیری Struts که چند ماه پیش Patch شده بود، توانستهاند باجافزار Cerber را برروی نسخههای ویندوز سرور نصب نمایند.
مهاجمان از یک نقص امنیتی که به تازگی در چارچوب برنامه توسعه وب Apache Struts، اصلاح و Patch شده بود استفاده کرده و با Exploit آن امکان نصب بدافزار برروی سرورها را به دست آوردهاند.
اخیرا موسسهی SANS Internet Storm Center هشدار داده است که برخی حملات با بهرهگیری از یک نقص ثبتشده با کد CVE-2017-5638، سرورهای ویندوزی را تهدید میکنند.
این نقص امنیتی در Parser Jakarta Multipart در Apache Struts 2 یافت شده و به مهاجمان اجازه میدهد با استفاده از دسترسی Userهایی که برنامههای وبسرور توسط آنان اجرا میشود، دستورات مورد نظر خود را اجرا نمایند.
مهاجمان تقریبا بلافاصله پس از آنکه آسیبپذیری Struts در نسخههای 32-3-2 و 1-10-5-2 Patch گردید، اقدام به Exploit نمودن این نقص کرده و فرصت چندانی برای بهروزرسانی برنامه توسط مدیران سرور باقی نگذاشتند.
طبق گزارش محققان SANS، با اینکه رشته حملات اولیه تنها از طریق باتهای سادهی Unix و Backdoor پیادهسازی میشدند، اما اخیرا توانستهاند یک برنامهی بدافزاری بسیار مخرب با نام Cerber را منتشر نمایند.
Cerber یک سال پیش آشکار شد و تاکنون نیز گسترش زیادی یافته و درحالحاضر نقصی در خصوص رمزگذاری آن وجود ندارد که فرآیند بازیابی فایل را امکانپذیر سازد.
لازم به ذکر است که Struts در توسعه برنامههای کاربردی در محیطهای سازمانی کاربرد وسیعی دارد و این نخستین بار نیست که از نقص امنیتی موجود بر روی یک نرمافزار سازمانی برای نصب باجافزار استفاده شده است. سال گذشته نیز مهاجمان به همین روش از آسیبپذیری موجود در Application Server JBoss استفاده نموده بودند.
مدیران سرورهایی که هنوز نسخههای پیادهسازیشده Struts را بهروزرسانی نکردهاند، باید هر چه سریعتر نسبت به این کار اقدام نمایند. همچنین از آنجاییکه این باجافزار از دسترسی User تعریف شده برای راهاندازی برنامه کاربردی استفاده میکند، توصیه میشود که این برنامه از طریق Accountهایی اجرا شود که از سطح دسترسی بالا برخوردار نیستند.
علاوه بر موارد ذکر شده، میتوان به منظور مسدود نمودن راه نفوذ مهاجمان اقدام به پیادهسازی Policyهای Application Whitelisting در سرورهای ویندوزی نمود که دسترسی کاربران معمولی به برنامههای کاربردی را محدود میسازد.
