Videó: Explaining the Apache Struts 2 Remote Code Execution Vulnerability (November 2024)
A Java közelmúltbeli nulla napos kihasználásával verjük fel a "frissítsd a Java most" dobot és játsszuk a "Java teljesen letiltása" fife-t a SecurityWatch felvonulásban. Ha ez nem lenne elég, a legfrissebb hír, hogy a vörös októberi kiber-támadási kampány egy Java kihasználást használták fel, csak egy újabb ok arra, hogy lépést tartsunk.
A Java támadási vektort a Seculert fedezte fel, és kedden jelentette be a cég blogjában. Noha sok támadó használja a Java kihasználásait, ez különbözik attól, amit korábban ismertettek a Vörös Októberről. A Kaspersky Labs kampányának első jelentésében az Október vörös országaira jellemző, hogy a fertőzött fájlokkal célzott e-mail támadásokra támaszkodnak.
"Vektorban a támadók beágyazott hivatkozással e-mailt küldtek egy speciálisan kialakított PHP weboldalra" - írja Seculert. "Ez a webhely kihasználta a Java biztonsági rését (CVE-2011-3544), és a háttérben automatikusan letöltötte és végrehajtotta a rosszindulatú programokat."
Nem új felfedezés
Fontos megjegyezni, hogy a Vörös Október által használt Java támadás nem az a nulla napos kizsákmányolás, amelyet fedeztünk. A Seculert valójában azt írja, hogy a vörös októberi támadásnak ezt a részét 2012 februárja körül írták, míg az általa használt kizsákmányolás 2011. októberében javításra került. Ezért kell a szoftvert frissíteni és frissíteni.
Miután közzétették a Vörös Október Java aspektusáról szóló híreket, Kaspersky további információkat tett közzé. "Úgy tűnik, hogy ezt a vektort a csoport nem használta erősen" - írja Kaspersky. "Amikor letöltöttük a '.jar' malkód-archívum kiszolgálásáért felelős php-t, a java kihasználó kódsor sorát kommentáltuk."
A támadás ezen aspektusának jellemzésekor Kaspersky nem hiszi, hogy ez vörös októberi eltérõ megközelítést jelez. Ehelyett úgy vélik, hogy ez összhangban áll a módszertani, jól megvizsgált támadásokkal, amelyek a Vörös Október védjegye.
Mit jelent
"Arra gondolhattunk, hogy a csoport néhány napig sikeresen továbbította a rosszindulatú szoftverek hasznos terhelését a megfelelő célpontra (célokra), akkor már nem kellett erőfeszítéseket tenni" - írta tegnap Kaspersky. "És ami azt is elmondhatja nekünk, hogy ennek a csoportnak, amely aprólékosan adaptálta és fejlesztette be beszivárgási és gyűjtési eszközkészletét az áldozatok környezetéhez, 2012. február elején kellett átállnia a Java-ra a szokásos spearphishing technikáikból."
Kaspersky azt írta, hogy a támadás több technikai aspektusa különbözik a vörös októberi támadásoktól, ami arra készteti a biztonsági társaságot, hogy ezt a kizsákmányolást egy meghatározott célra fejlesztették ki.
Megkönnyebbülés azt hallani, hogy a Vörös Október Java aspektusát nem az áldozatok szélesebb körének megcélzására használták fel. Noha ez a számítógépes támadás kampánya félelmetes hatékonysággal, az alkotók a kiemelkedő kormányzati és diplomáciai célokra összpontosítottak, nem pedig a mindennapi felhasználókra. Ugyanakkor azt is demonstrálja, hogy sok szoftver-kihasználást a támadók jól ismernek, akik kihasználják a lusta felhasználókat, akik elkerülik a frissítéseket.
Max további információkért kövesse őt a Twitteren @wmaxeddy.
