Фахівці з безпеки стверджують, що критична вразливість Apache Struts, яка була виявлена минулого тижня, активно використовується для зловмисної установки популярного прихованого майнера криптовалют у систему жертви.
Експерти компанії Volexity на початку цього тижня повідомили, що вони помітили підозрілу активність незабаром після того, як був оприлюднений працюючий макет ПЗ, який використовує дану вразливість.
За висновком Volexity, атаки, які спостерігаються аж до теперішнього моменту, "у дикій природі", використовують код, узятий безпосередньо з В даному випадку, Apache Struts вразливий через неправильну перевірку простору імен вхідних даних, а такий недолік нескладно використовувати.
27 серпня 2018 року Volexity виявили принаймні одного шкодоноса, який намагається використати Уразливість CVSS 10.0 була виявлена на минулому тижні, при цьому експерти наполегливо рекомендували. Apache Software Foundation настійно рекомендує оновити своє програмне забезпечення до Struts 2.3.35 або Struts 2.5.17. Організації, які не можуть встановити оновлення або патч досить швидко, можуть бути схильні до ще більшої небезпеки, оскільки сама вразливість дозволяє віддалене виконання коду і теоретично дозволяє зловмисникам отримати повний доступ до системи, що атакується. Recorded Future повідомила, що виявила згадки про використання цієї вразливості на ряді китайських і російських хакерських форумах, тоді як Volexity стверджувала, що вона «спостерігала кілька APT груп, які використовують уразливості Apache Struts для доступу до цільових мереж». Trend Micro опублікувала цього тижня свій піврічний звіт, в якому повідомила, що виявлення криптовалютних майнерів за першу половину 2017 року, порівняно з першим півріччям цього року, злетіло на 956%.
За матеріалами InfoSecurity
Читайте також
Злочинці «вразливі» при конвертації криптовалют у фіат
Американські митні чиновники стверджують, що криптовалюта допомагає відстежувати злочинців
Кроляча нора або чому ми ігноруємо безпеку
Світ криптовалютних активів - це утопічний майданчик, де кодери, розробники та футуристи уявляють абсолютно неймовірні технологічні концепції. З розумними смарт-контрактами, оцифровкою активів, відстеження ланцюжка поставок, сертифікатами якості, які неможливо під...
