ยังไม่แพตช์ให้รีบทำ !! แฮ็กเกอร์เริ่มโจมตีช่องโหว่ Apache Struts 2 แล้ว

August 29, 2018 Application Security, Security, Threats Update, Vulnerability and Risk Management, Web Security

หลังจากที่สัปดาห์ก่อน Semmle Security Research Team ได้ออกมาเปิดเผยถึงช่องโหว่ Remote Code Execution (RCE) บน Apache Struts 2 รหัส CVE-2018-11776 ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมเว็บแอปพลิเคชันที่ใช้ Apache Struts ได้แล้ว ล่าสุดพบว่าเริ่มมีกลุ่มผู้ไม่ประสงค์ดีโจมตีเหยื่อผ่านช่องโหว่ดังกล่าว ผู้ดูแลระบบเว็บควรรีบอัปเดตแพตช์โดยด่วน

Palo Alto Networks ระบุว่า ถึงแม้ว่าช่องโหว่นี้จะไม่สามารถใช้ได้กับการตั้งค่า Struts แบบ Default ที่มาจากโรงงาน แต่วงการ IT ก็ให้ความสนใจกับช่องโหว่นี้เป็นอย่างมาก เนื่องจากก่อนหน้านี้ช่องโหว่ Struts เคยเป็นสาเหตุ Data Breach ของบริษัทยักษ์ใหญ่ระดับโลกอย่าง Equifax มาแล้ว

ที่น่าเป็นห่วงคือ หลังจากที่ช่องโหว่ถูกเปิดเผย สัปดาห์ที่ผ่านมาได้มีนักวิจัยด้านความั่นคงปลอดภัยจำนวนมากแชร์สคริปต์สำหรับ PoC ช่องโหว่ดังกล่าว [1, 2, 3, 4] รวมไปถึงขั้นตอนการโจมตีอย่างละเอียด นอกจากนี้ ยังมีคนนำสคริปต์ PoC เหล่านี้ไปฝังรวมกับ Struts Exploitation Toolkit ซึ่งรวมเครื่องมือสำหรับเจาะ Apache Struts ตั้งแต่ในอดีตไว้ด้วยกัน เช่น CVE-2013-2251, CVE-2017-5638 และ CVE-2018-11776

Someone has released a tool for automatically exploiting Apache Struts servers via 3 well-known RCEs:
CVE-2013-2251
CVE-2017-5638
CVE-2018-11776

Surprisingly, CVE-2017-9805 is not on there, despite being more recent and already-existing PoCshttps://t.co/4qgZJpVbYG pic.twitter.com/6y8vWXlaCE

— Catalin Cimpanu (@campuscodi) 27 สิงหาคม 2561

ถึงแม้ว่าจะมีสคริปต์ PoC หรือเครื่องมือแฮ็ก Struts เปิดเผยเป็นจำนวนมาก แต่สัปดาห์ที่ผ่านมาก็พบเพียงแค่การสแกนหาเซิร์ฟเวอร์ที่รัน Apache Struts เท่านั้น ยังไม่พบความพยายามในการเจาะระบบแต่อย่างใด แต่ล่าสุด เมื่อคืนวันที่ 27 สิงหาคมที่ผ่านมา (ตามเวลาท้องถิ่น) Matthew Meltzer นักวิเคราะห์ด้านความมั่นคงปลอดภัยจาก Volexity ค้นพบการสแกนและโจมตีเพื่อเจาะช่องโหว่ครั้งแรก โดยพุ่งเป้าไปยังหลายๆ ประเทศทั่วโลก จากการตรวจสอบพบว่ามาจาก 4 หมายเลข IP ได้แก่ 192.173.146.40, 202.189.2.94, 182.23.83.30 และ 95.161.225.94

นักวิจัยด้านความมั่นคงปลอดภัยจาก Volexity ยังระบุอีกว่า กลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีนี้ มีเป้าหมายเพื่อเจาะระบบ Struts เข้าไปแล้วลอบติดตั้ง CNRig Cryptocurrency Miner โดยหวังให้เซิร์ฟเวอร์เป้าหมายขุดเหรียญดิจิทัลสร้างรายได้ให้แก่ตัวเอง อย่างไรก็ตาม สเกลการโจมตีนี้ถือว่ายังไม่ใหญ่มากนัก เนื่องจากช่องโหว่ CVE-2018-11776 ไม่สามารถใช้ได้กับการตั้งค่า Struts แบบ Default ที่มาจากโรงงาน

ช่องโหว่ CVE-2018-11776 ส่งผลกระทบบน Apache Struts เวอร์ชัน 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 ซึ่งทาง Apache ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย แนะนำให้ผู้ดูแลระบบอัปเดตเป็นเวอร์ชัน 2.3.35 หรือ 2.5.17 โดยเร็ว

ที่มา: https://www.bleepingcomputer.com/news/security/active-attacks-detected-using-apache-struts-vulnerability-cve-2018-11776/

Tags apache struts 2 cve-2018-11776 rce remote code execution security patch vulnerability

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable เปิดตัวความสามารถใหม่ ตรวจจับอุปกรณ์แปลกปลอมที่ถูกติดตั้งในเครือข่ายและบน Cloud ได้อัตโนมัติ

Tenable ผู้นำด้าน Cyber Exposure ได้ออกมาประกาศเปิดตัวถึงความสามารถใหม่ ที่จะช่วยให้ Tenable.sc และ Tenable.io สามารถตรวจจับอุปกรณ์แปลกปลอมที่ถูกนำมาติดตั้งได้โดยอัตโนมัติ ไม่ว่าจะเป็นภายในระบบเครือข่ายของธุรกิจองค์กรหรือบน Cloud และทำให้ฝ่าย Security ของธุรกิจองค์กรนั้นสามารถทำการตรวจสอบเชิงลึกไปยังอุปกรณ์เหล่านั้นได้ทันที โดยมีต้องมีค่าใช้จ่ายใดๆ เพิ่มเติม

Tenable ขึ้นแท่นผู้นำด้าน Vulnerability Management สามารถตรววจหาช่องโหว่และการตั้งค่าที่ไม่ปลอดภัยได้มากกว่าคู่แข่งรายอื่น

Tenable ได้ออกมาประกาศถึงผลการวิเคราะห์จาก Principled Technologies ที่ได้ทำการเปรียบเทียบผู้ผลิตโซลูชันทางด้าน Vulnerability Management 3 ราย ได้แก่ Tenable, Rapid7 และ Qualys ซึ่งพบว่า Tenable นั้นรองรับการตรวจสอบช่องโหว่ตาม CVE ได้มากกว่าคู่แข่งถึง 22% และยังตรวจสอบความปลอดภัยในการตั้งค่าได้มากกว่าคู่แข่งถึงเกือบ 3 เท่าเลยทีเดียว