网络罪犯对最近修复的Java漏洞进行再次利用

一名独立恶意软件研究员警告称,网络罪犯很快就知道如何把6月份就修补好的Java漏洞整合到一款工具中,向用户发动大规模攻击。

利用目标的一个关键漏洞为CVE-2013-2465,这个漏洞对所有Java 7 Update 25之前的版本都有影响,而且可以允许远程代码执行。Oracle在6月的Java重要漏洞更新中已经修复过这一漏洞。

安全研究团队Packet Storm Security在周一发布了该漏洞,最初,这一漏洞是在漏洞奖励项目的鼓励下,作为零日漏洞发现的——当时它是一个未被修复的漏洞——发现该漏洞的研究员没有公开自己的姓名。Packet Storm在获得许可的前提下,在发现了这个漏洞60天后公布了该漏洞,这样,其他安全专家就可以利用这些信息来执行渗透测试和安全风险评估。

在公布两天之后,对CVE-2013-2465的开发利用就已经被整合到了所谓的开发工具包中,当用户访问带有恶意代码的网站时,这些攻击工具会利用过时软件中没来得及打上补丁的已知漏洞损害电脑。

一个独立的恶意软件研究员,网名为Kafeine,发现一个叫Styx的很活跃的漏洞安装包,以前叫Kein,这个安装包就是利用的这个漏洞。

从一名攻击者的角度来看,利用CVE-2013-2465漏洞好过利用CVE-2013-2460,后者也是一个在6月份被修复的漏洞,且最近也被整合到了一个名为Private Exploit Pack的攻击工具包中,Kafeine周四在其博客中称。这是因为CVE-2013-2465影响了Java 7和Java 6的安装,而CVE-2013-2060只影响了Java 7。

Oracle在4月份就终止了对Java 6的支持,而且不再向用户推出Java 6的安全更新。尽管如此,Java 6的使用范围仍然很广,特别是在企业环境中。

由安全公司 Bit9所做的一项安全调查表明,在使用Java系统的公司中,安装Java 6的公司超过80%。而在这些系统中,部署最广泛的版本又是Java 6 Update 20。

最近的Java 6公开版本是Java 6 Update 45,这个版本也会受到CVE-2013-2465的攻击。这个漏洞是Java 6 Update 51的一个补丁,但是这个版本仅适用于那些需要Oracle给其提供扩展支持合同的用户。

事实上,CVE-2013-2065漏洞是公开的,而且该漏洞已经整合到用于大规模攻击的工具包中,这意味着,这些漏洞很快又会被广泛开发利用。那些还没升级到Java 7 Update 25的用户赶紧升级吧。