Una serie di nuovi attacchi hacker si sono susseguiti in queste ore. La causa è una vulnerabilità critica specifica che consente ai malintenzionati di prendere il controllo remoto totale di server web appartenenti ad agenzie governative, banche e grandi server farm Internet. Una situazione che cammina parallelamente all’episodio portato alle luce da Wikileaks in questi giorni a proposito dello scandalo Assange sui tool CCI dell’agenzia federale governativa statunitense.
In questo specifico caso, si tratta di un errore nel codice di esecuzione che risiede sul framework della piattaforma Apache Struts 2 delle web-app. Ciò che colpisce, in questo caso, è il fatto di riuscire a sfruttare questa vulnerabilità con una banalità sconcertante.
Sebbene i responsabili del progetto abbiano rilasciato una patch correttiva lo scorso Venerdì, gli attacchi hacker continuano a susseguirsi a ritmo incessante. Nel corso di queste ultime 48 ore, infatti, numerosi comandi riportanti codice malevolo sono stati inoltrati a tutti quei server che non hanno ancora provveduto all’update. A peggiorare ulteriormente le cose vi è il fatto che esistono due exploit di pubblico dominio. 
Vicente Motos, uno dei responsabili del progetto, ha riferito che:
“Se si esegue l’exploit contro un’applicazione vulnerabile, il risultato sarà l’esecuzione remota di comandi diretti al server da parte dell’utente. Abbiamo dedicato ore ed ore alla segnalazione dell’accaduto ad aziende, governi, produttori, e anche agli utenti, invitandoli all’installazione delle patch ed alla repentina correzione delle vulnerabilità, ma l’exploit ha già generato numerosi alert e massicci tentativi di sfruttare la falla per accedere indebitamente ai portali Internet”
I ricercatori Cisco Systems hanno riferito un gran numero di attacchi da parte degli hacker, i quali tentano di eseguire una serie di azioni su pagine web, come il blocco dei Firewall. La tecnica sfrutta l’azione dei sistemi IRC per mascherare l’IP reale durante le chat, i DDNS ed altri vari pacchetti inoltrati al server per mezzo di sofisticate botnet. 
Nick Biasini, di Cisco System, ha osservato che:
“Questi sono solo alcuni dei molti esempi di attacco che si stanno osservando.
Gli attacchi si dividono in due grandi categorie: sondaggio e distribuzione di malware I payload consegnati variano notevolmente a seconda del sito di riferimento”
La vulnerabilità risiede in ciò che è comunemente noto come “Jakarta upload file parser multipart” che, secondo quanto riferito dalla documentazione ufficiale di Apache Struts 2, corrisponde ad uno standard di supporto che necessita di una libreria di funzione. Le versioni di Apache Struts interessate dalla vulnerabilità includono Struts 2.3.5 attraverso 2.3.31, e 2,5 attraverso 2.5.10. I server che eseguono una di queste versioni dovrebbero eseguire l’aggiornamento a 2.3.32 o 2.5.10.1 immediatamente.
Al momento, non è chiaro il motivo per cui la vulnerabilità viene così ampiamente sfruttata a 48 ore dal rilascio delle patch correttive. Una delle possibilità è quella dovuta al fatto che i manutentori non abbiano provveduto a comunicare la vulnerabilità a tempo debito. Il rischio, in questo caso, si identifica con la possibilità di “eseguire potenziale codice remoto”. Ricercatori esterni, intanto, riferiscono che l’utilizzo degli exploit è alla portata di tutti, e che non si richiede neanche l’autenticazione ai server.
Altrettanto semplice è l’esecuzione della scansione dei server vulnerabili, ed il fatto di poter sfruttare il bug anche se la funzione upload dell’applicazione web non è implementata. La vulnerabilità è stata classificata come CVE-2017-5638. Ulteriori dettagli in merito alla faccenda sono disponibili qui e qui .
LEGGI ANCHE: Wikileaks: le Smart TV Samsung utilizzate dalla CIA per spiare i cittadini: ecco come facevano
