Новая уязвимость в Apache Struts используется в атаках
29.08.2018
Как сообщил порталу Bleeping Computer специалист компании Volexity Мэттью Мелцер (Matthew Meltzer), активная эксплуатация уязвимости началась 27 августа. "Мы наблюдаем сканирование и попытки эксплуатации во множествах географически разбросанных точках", - отметил Мелцер.
Исследователи из Greynoise Intelligence подтвердили сведения коллег из Volexity. По их словам, сканирование осуществляется с четырех IP-адресов (192.173.146.40, 202.189.2.94, 182.23.83.30 и 95.161.225.94), являющихся частью одного и того же ботнета. Эксперты Volexity подтвердили IP-адрес 95.161.225.94, также добавив к нему 167.114.171.27. Они давно известны исследователям, как адреса, использующиеся во многих операциях по сканированию.
Как сообщили эксперты, в новой кампании злоумышленники эксплуатируют CVE-2018-11776 для установки на серверы версии ПО для майнинга криптовалюты CNRig, загруженной из репозитория BitBucket. В настоящее время попыток эксплуатации данной уязвимости намного меньше по сравнению с другими уязвимостями. Это объясняется тем, что осуществление атаки невозможно при заводских настройках Apache Struts.
