TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หลังจากที่สัปดาห์ก่อน Semmle Security Research Team ได้ออกมาเปิดเผยถึงช่องโหว่ Remote Code Execution (RCE) บน Apache Struts 2 รหัส CVE-2018-11776 ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมเว็บแอปพลิเคชันที่ใช้ Apache Struts ได้แล้ว ล่าสุดพบว่าเริ่มมีกลุ่มผู้ไม่ประสงค์ดีโจมตีเหยื่อผ่านช่องโหว่ดังกล่าว ผู้ดูแลระบบเว็บควรรีบอัปเดตแพตช์โดยด่วน
Palo Alto Networks ระบุว่า ถึงแม้ว่าช่องโหว่นี้จะไม่สามารถใช้ได้กับการตั้งค่า Struts แบบ Default ที่มาจากโรงงาน แต่วงการ IT ก็ให้ความสนใจกับช่องโหว่นี้เป็นอย่างมาก เนื่องจากก่อนหน้านี้ช่องโหว่ Struts เคยเป็นสาเหตุ Data Breach ของบริษัทยักษ์ใหญ่ระดับโลกอย่าง Equifax มาแล้ว
ที่น่าเป็นห่วงคือ หลังจากที่ช่องโหว่ถูกเปิดเผย สัปดาห์ที่ผ่านมาได้มีนักวิจัยด้านความั่นคงปลอดภัยจำนวนมากแชร์สคริปต์สำหรับ PoC ช่องโหว่ดังกล่าว [1, 2, 3, 4] รวมไปถึงขั้นตอนการโจมตีอย่างละเอียด นอกจากนี้ ยังมีคนนำสคริปต์ PoC เหล่านี้ไปฝังรวมกับ Struts Exploitation Toolkit ซึ่งรวมเครื่องมือสำหรับเจาะ Apache Struts ตั้งแต่ในอดีตไว้ด้วยกัน เช่น CVE-2013-2251, CVE-2017-5638 และ CVE-2018-11776
Someone has released a tool for automatically exploiting Apache Struts servers via 3 well-known RCEs:
CVE-2013-2251
CVE-2017-5638
CVE-2018-11776Surprisingly, CVE-2017-9805 is not on there, despite being more recent and already-existing PoCshttps://t.co/4qgZJpVbYG pic.twitter.com/6y8vWXlaCE
— Catalin Cimpanu (@campuscodi) 27 สิงหาคม 2561
ถึงแม้ว่าจะมีสคริปต์ PoC หรือเครื่องมือแฮ็ก Struts เปิดเผยเป็นจำนวนมาก แต่สัปดาห์ที่ผ่านมาก็พบเพียงแค่การสแกนหาเซิร์ฟเวอร์ที่รัน Apache Struts เท่านั้น ยังไม่พบความพยายามในการเจาะระบบแต่อย่างใด แต่ล่าสุด เมื่อคืนวันที่ 27 สิงหาคมที่ผ่านมา (ตามเวลาท้องถิ่น) Matthew Meltzer นักวิเคราะห์ด้านความมั่นคงปลอดภัยจาก Volexity ค้นพบการสแกนและโจมตีเพื่อเจาะช่องโหว่ครั้งแรก โดยพุ่งเป้าไปยังหลายๆ ประเทศทั่วโลก จากการตรวจสอบพบว่ามาจาก 4 หมายเลข IP ได้แก่ 192.173.146.40, 202.189.2.94, 182.23.83.30 และ 95.161.225.94
นักวิจัยด้านความมั่นคงปลอดภัยจาก Volexity ยังระบุอีกว่า กลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีนี้ มีเป้าหมายเพื่อเจาะระบบ Struts เข้าไปแล้วลอบติดตั้ง CNRig Cryptocurrency Miner โดยหวังให้เซิร์ฟเวอร์เป้าหมายขุดเหรียญดิจิทัลสร้างรายได้ให้แก่ตัวเอง อย่างไรก็ตาม สเกลการโจมตีนี้ถือว่ายังไม่ใหญ่มากนัก เนื่องจากช่องโหว่ CVE-2018-11776 ไม่สามารถใช้ได้กับการตั้งค่า Struts แบบ Default ที่มาจากโรงงาน
ช่องโหว่ CVE-2018-11776 ส่งผลกระทบบน Apache Struts เวอร์ชัน 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 ซึ่งทาง Apache ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย แนะนำให้ผู้ดูแลระบบอัปเดตเป็นเวอร์ชัน 2.3.35 หรือ 2.5.17 โดยเร็ว
