ยังไม่แพตช์ให้รีบทำ !! แฮ็กเกอร์เริ่มโจมตีช่องโหว่ Apache Struts 2 แล้ว

August 29, 2018 Application Security, Security, Threats Update, Vulnerability and Risk Management, Web Security

หลังจากที่สัปดาห์ก่อน Semmle Security Research Team ได้ออกมาเปิดเผยถึงช่องโหว่ Remote Code Execution (RCE) บน Apache Struts 2 รหัส CVE-2018-11776 ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมเว็บแอปพลิเคชันที่ใช้ Apache Struts ได้แล้ว ล่าสุดพบว่าเริ่มมีกลุ่มผู้ไม่ประสงค์ดีโจมตีเหยื่อผ่านช่องโหว่ดังกล่าว ผู้ดูแลระบบเว็บควรรีบอัปเดตแพตช์โดยด่วน

Palo Alto Networks ระบุว่า ถึงแม้ว่าช่องโหว่นี้จะไม่สามารถใช้ได้กับการตั้งค่า Struts แบบ Default ที่มาจากโรงงาน แต่วงการ IT ก็ให้ความสนใจกับช่องโหว่นี้เป็นอย่างมาก เนื่องจากก่อนหน้านี้ช่องโหว่ Struts เคยเป็นสาเหตุ Data Breach ของบริษัทยักษ์ใหญ่ระดับโลกอย่าง Equifax มาแล้ว

ที่น่าเป็นห่วงคือ หลังจากที่ช่องโหว่ถูกเปิดเผย สัปดาห์ที่ผ่านมาได้มีนักวิจัยด้านความั่นคงปลอดภัยจำนวนมากแชร์สคริปต์สำหรับ PoC ช่องโหว่ดังกล่าว [1, 2, 3, 4] รวมไปถึงขั้นตอนการโจมตีอย่างละเอียด นอกจากนี้ ยังมีคนนำสคริปต์ PoC เหล่านี้ไปฝังรวมกับ Struts Exploitation Toolkit ซึ่งรวมเครื่องมือสำหรับเจาะ Apache Struts ตั้งแต่ในอดีตไว้ด้วยกัน เช่น CVE-2013-2251, CVE-2017-5638 และ CVE-2018-11776

Someone has released a tool for automatically exploiting Apache Struts servers via 3 well-known RCEs:
CVE-2013-2251
CVE-2017-5638
CVE-2018-11776

Surprisingly, CVE-2017-9805 is not on there, despite being more recent and already-existing PoCshttps://t.co/4qgZJpVbYG pic.twitter.com/6y8vWXlaCE

— Catalin Cimpanu (@campuscodi) 27 สิงหาคม 2561

ถึงแม้ว่าจะมีสคริปต์ PoC หรือเครื่องมือแฮ็ก Struts เปิดเผยเป็นจำนวนมาก แต่สัปดาห์ที่ผ่านมาก็พบเพียงแค่การสแกนหาเซิร์ฟเวอร์ที่รัน Apache Struts เท่านั้น ยังไม่พบความพยายามในการเจาะระบบแต่อย่างใด แต่ล่าสุด เมื่อคืนวันที่ 27 สิงหาคมที่ผ่านมา (ตามเวลาท้องถิ่น) Matthew Meltzer นักวิเคราะห์ด้านความมั่นคงปลอดภัยจาก Volexity ค้นพบการสแกนและโจมตีเพื่อเจาะช่องโหว่ครั้งแรก โดยพุ่งเป้าไปยังหลายๆ ประเทศทั่วโลก จากการตรวจสอบพบว่ามาจาก 4 หมายเลข IP ได้แก่ 192.173.146.40, 202.189.2.94, 182.23.83.30 และ 95.161.225.94

นักวิจัยด้านความมั่นคงปลอดภัยจาก Volexity ยังระบุอีกว่า กลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีนี้ มีเป้าหมายเพื่อเจาะระบบ Struts เข้าไปแล้วลอบติดตั้ง CNRig Cryptocurrency Miner โดยหวังให้เซิร์ฟเวอร์เป้าหมายขุดเหรียญดิจิทัลสร้างรายได้ให้แก่ตัวเอง อย่างไรก็ตาม สเกลการโจมตีนี้ถือว่ายังไม่ใหญ่มากนัก เนื่องจากช่องโหว่ CVE-2018-11776 ไม่สามารถใช้ได้กับการตั้งค่า Struts แบบ Default ที่มาจากโรงงาน

ช่องโหว่ CVE-2018-11776 ส่งผลกระทบบน Apache Struts เวอร์ชัน 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 ซึ่งทาง Apache ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย แนะนำให้ผู้ดูแลระบบอัปเดตเป็นเวอร์ชัน 2.3.35 หรือ 2.5.17 โดยเร็ว

ที่มา: https://www.bleepingcomputer.com/news/security/active-attacks-detected-using-apache-struts-vulnerability-cve-2018-11776/

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ

Microsoft ประกาศเหตุคอนฟิค Rule ผิด เปิดเข้าถึงข้อมูลลูกค้าได้กว่า 250 ล้านรายการ

Microsoft ได้ประกาศถึงเหตุการความผิดพลาดโดยไม่ตั้งใจสาเหตุจากการคอนฟิค Security Rule ของ Azure ที่เกี่ยวข้องกับเซิร์ฟเวอร์ฐานข้อมูล Customer Support ส่งผลให้ข้อมูลกว่า 250 ล้านรายการสามารถถูกเข้าถึงได้ แต่ยังไม่มีรายงานพบการนำข้อมูลไปใช้ในทางที่ไม่ดี