Peneliti keamanan kali ini temukan kerentanan Zero-Day dalam framework aplikasi web populer, Apache Struts. Dan kerentanan ini sedang aktif dieksploitasi di alam bebas.
Dalam sebuah posting blog, perusahaan Cisco Threat intelijen Talos memberitahukan pengamatan sejumlah serangan aktif terhadap kerentanan zero-day (CVE-2017-5638) di Apache Struts.
Menurut para peneliti, masalahnya adalah kerentanan eksekusi remote code di Jakarta Multipart parser dari Apache Struts. Yang dapat memungkinkan penyerang untuk mengeksekusi perintah berbahaya pada server ketika meng-upload file berdasarkan parser.
Kerentanan ini didokumentasikan Rapid7 dalam GitHub Metasploit Framework, dan saat ini kerentanan telah di patch oleh Apache. Jadi, jika kamu menggunakan file upload berbasis Jakarta Multipart parser di bawah Apache Struts 2, disarankan untuk meng-upgrade ke versi Apache Struts 2.3.32 atau 2.5.10.1 segera.
Exploit Code Dirilis Ke Publik
Karena peneliti Talos sudah menerbitkan proof-of-concept (PoC) dan exploit code (yang di-upload ke situs Cina), jadi kerentanan ini cukup berbahaya.
Para peneliti bahkan mendeteksi sejumlah besar peristiwa eksploitasi. Mayoritas yang tampaknya memanfaatkan PoC yang dirilis publik dan digunakan untuk menjalankan berbagai perintah berbahaya.
Dalam beberapa kasus, para penyerang mengeksekusi command sederhana “whoami” untuk melihat apakah sistem target rentan. Sementara yang lainnya ada juga serangan berbahaya yang mematikan proses firewall pada target dan mengirimkan payload.
Penyerang juga berusaha untuk mendapatkan persistensi pada host yang terinfeksi dengan menambahkan biner untuk rutinitas boot-up.
Menurut para peneliti, para penyerang mencoba untuk menyalin file ke direktori benign. Lalu memastikan “bahwa kedua program tersebut berjalan dan layanan firewall akan dinonaktifkan saat booting.”
Baik peniliti Cisco maupun Apache mendesak administrator untuk meng-upgrade sistem mereka ke Apache Struts versi 2.3.32 atau 2.5.10.1 sesegera mungkin. Admin juga dapat beralih ke implementasi yang berbeda dari parser Multipart.
