研究者称，黑客针对运行Apache Struts应用的服务器

研究者称，黑客针对运行Apache Struts应用的服务器

趋势科技研究员称，中国的黑客论坛上已经出现自动攻击已知Struts漏洞的工具

中国黑客现在正是用一个自动工具利用Apache Struts中的已知漏洞，目的是在用这个框架开发的用于托管应用的服务器上安装后门。

Apache Struts是一个非常常见的开源框架，可用于开发基于Java的Web应用，这个框架由Apache Softwware Foundation维护。

今年已经发布了多个Struts安全感呢个小，上月就曾发布，这些更新可以修补一些非常关键的漏洞，否则远程攻击者将利用这些漏洞在Web服务器上执行任意指令。

据趋势科技的研究员透露，黑客现在正非常积极地利用这些漏洞。这些研究员们在一个隐秘的中国论坛上发现了一款工具，此工具可针对有漏洞的Struts发起自动攻击。

这款工具利用以下Struts漏洞来损坏服务器：S2-016 (CVE-2013-2251), 在7月16号发布的 Struts 2.3.15.1 中已得到修复; S2-013 (CVE-2013-1966), 在5月22号发布的Struts 2.3.14.1 中已得到修复; S2-009 (CVE-2011-3923), 在2012年1月的Struts 2.3.1.2 已被修复; 还有S2-005 (CVE-2010-1870), 在2010年8月16号发布的Struts 2.2.1 中已被修复。

趋势科技高级威胁研究员Noriaki Hayashi于周三在其博客中透露，7月19日，在最新的Struts漏洞被爆出后的第三天，此攻击工具的存在便得到确认。

“我们对利用此工具攻击亚洲目标的行为进行了观察，观察结果表明，不法分子正积极利用这些Struts漏洞，”他说。

一旦有黑客用Struts工具进入了Linux或Windows服务器，他们可以执行预配置命令，这样就可以提取服务器操作系统，目录结构，活跃用户和网络配置的相关信息。

这款工具还可以让攻击者植入所谓的Web Shell充当后门，使他们可以持续访问服务器执行其他命令，为所欲为，Hayashi说。

该工具安装的Web Shell被称为JspWebShell，是用JavaServer Pages编码。

功能更强大的Web Shell在黑客论坛上也是可以轻易获取的，黑客可以利用这些工具从已被侵入的服务器上搜寻并窃取信息，该研究员说。

Struts 2.3.15.1，目前是最安全的版本，此版本去除了若干有漏洞的特性，如“DefaultActionMapper类的redirect:”和“redirectAction:”前缀。Struts程序员警告称，升级到此版本或许会影响到一些依赖这些特性的应用，所以他们推荐用修补后的导航规则替换已被弃用的前缀。

Hayashi强烈推荐大家升级到最新版本。“成功攻击带来的潜在威胁和修改应用的不便利相比较，前者的影响更令人棘手。”

Apache Struts多个前缀参数远程命令执行漏洞(CVE-2013-2251)

Apache Struts 多个开放重定向漏洞(CVE-2013-2248)

Struts2 远程执行代码（S2-016) 利用工具