Tim peneliti dari Cisco Talos baru saja menemukan adanya percobaan eksploitasi yang cukup banyak yang mengarah ke web server Apache. Percobaan eksploitasi ini secara spesifik mengarah kepada vulnerability CVE-2017-5638 yang terdapat pada Apache Struts2.
Vulnerability ini dapat dieksploitasi untuk kemudian menjalankan command secara remote via internet atau biasa yang disebut Remote Command Execution. Vulnerability ini sendiri berada pada parser Jakarta Multipart. Nilai pada Content-Type dapat dimanipulasi oleh attacker untuk dapat menampilkan pesan error dan menjalankan command secara remote.
Tim peneliti pada Cisco Talos berhasil menemukan berbagai percobaan eksploitasi pada vulnerability ini mulai dari yang sederhana sampai kompleks. Percobaan paling sederhana adalah percobaan untuk menjalankan command Linux whoami untuk mengetahui user yang menjalankan service tersebut dimana biasanya adalah root. Percobaan ini juga untuk memastikan bahwa server tersebut memiliki vulnerability pada Apache Strutsnya.
Percobaan eksploitasi selanjutnya yang berhasil dianalisa adalah adanya percobaan untuk menonaktifkan firewall pada sistem operasi SUSE dimana kemudian dilanjutkan dengan mengunduh file payload dari web server lain seperti terlihat pada gambar dibawah
Serangan selanjutnya yang lebih kompleks memiliki kemampuan untuk dapat menyembunyikan malware yang berhasil diunduh pada proses sebelumnya dan membuatnya untuk terus berjalan meskipun server telah direstart. Pada gambar dibawah juga dapat dilihat bahwa adanya percobaan untuk menonaktifkan firewall dan membuatnya tidak aktif setelah server direstart
Apache telah merilis versi perbaikan untuk vulnerability ini (Apache Struts 2.3.32 / 2.5.10.1). Bagi system administrator direkomendasikan untuk segera melakukan upgrade sebelum terjadi hal-hal yang tidak diinginkan.
Tim Cisco Talos juga telah merilis rules Snort IDS untuk mendeteksi serangan ini. Rules tersebut memiliki Signature ID 41818 dan 41819.
Referensi:
Apache Struts 2 needs patching, without delay. It’s under attack now – The Register
Content-Type: Malicious – New Apache 0-day Under Attack – Talos
Apache Struts2 Security Advisories
CVE-2017-5638 – Apache Struts2 S2-045 Public Exploit – Metasploit Framework
