ยังไม่แพตช์ให้รีบทำ !! แฮ็กเกอร์เริ่มโจมตีช่องโหว่ Apache Struts 2 แล้ว

August 29, 2018 Application Security, Security, Threats Update, Vulnerability and Risk Management, Web Security

หลังจากที่สัปดาห์ก่อน Semmle Security Research Team ได้ออกมาเปิดเผยถึงช่องโหว่ Remote Code Execution (RCE) บน Apache Struts 2 รหัส CVE-2018-11776 ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมเว็บแอปพลิเคชันที่ใช้ Apache Struts ได้แล้ว ล่าสุดพบว่าเริ่มมีกลุ่มผู้ไม่ประสงค์ดีโจมตีเหยื่อผ่านช่องโหว่ดังกล่าว ผู้ดูแลระบบเว็บควรรีบอัปเดตแพตช์โดยด่วน

Palo Alto Networks ระบุว่า ถึงแม้ว่าช่องโหว่นี้จะไม่สามารถใช้ได้กับการตั้งค่า Struts แบบ Default ที่มาจากโรงงาน แต่วงการ IT ก็ให้ความสนใจกับช่องโหว่นี้เป็นอย่างมาก เนื่องจากก่อนหน้านี้ช่องโหว่ Struts เคยเป็นสาเหตุ Data Breach ของบริษัทยักษ์ใหญ่ระดับโลกอย่าง Equifax มาแล้ว

ที่น่าเป็นห่วงคือ หลังจากที่ช่องโหว่ถูกเปิดเผย สัปดาห์ที่ผ่านมาได้มีนักวิจัยด้านความั่นคงปลอดภัยจำนวนมากแชร์สคริปต์สำหรับ PoC ช่องโหว่ดังกล่าว [1, 2, 3, 4] รวมไปถึงขั้นตอนการโจมตีอย่างละเอียด นอกจากนี้ ยังมีคนนำสคริปต์ PoC เหล่านี้ไปฝังรวมกับ Struts Exploitation Toolkit ซึ่งรวมเครื่องมือสำหรับเจาะ Apache Struts ตั้งแต่ในอดีตไว้ด้วยกัน เช่น CVE-2013-2251, CVE-2017-5638 และ CVE-2018-11776

Someone has released a tool for automatically exploiting Apache Struts servers via 3 well-known RCEs:
CVE-2013-2251
CVE-2017-5638
CVE-2018-11776

Surprisingly, CVE-2017-9805 is not on there, despite being more recent and already-existing PoCshttps://t.co/4qgZJpVbYG pic.twitter.com/6y8vWXlaCE

— Catalin Cimpanu (@campuscodi) 27 สิงหาคม 2561

ถึงแม้ว่าจะมีสคริปต์ PoC หรือเครื่องมือแฮ็ก Struts เปิดเผยเป็นจำนวนมาก แต่สัปดาห์ที่ผ่านมาก็พบเพียงแค่การสแกนหาเซิร์ฟเวอร์ที่รัน Apache Struts เท่านั้น ยังไม่พบความพยายามในการเจาะระบบแต่อย่างใด แต่ล่าสุด เมื่อคืนวันที่ 27 สิงหาคมที่ผ่านมา (ตามเวลาท้องถิ่น) Matthew Meltzer นักวิเคราะห์ด้านความมั่นคงปลอดภัยจาก Volexity ค้นพบการสแกนและโจมตีเพื่อเจาะช่องโหว่ครั้งแรก โดยพุ่งเป้าไปยังหลายๆ ประเทศทั่วโลก จากการตรวจสอบพบว่ามาจาก 4 หมายเลข IP ได้แก่ 192.173.146.40, 202.189.2.94, 182.23.83.30 และ 95.161.225.94

นักวิจัยด้านความมั่นคงปลอดภัยจาก Volexity ยังระบุอีกว่า กลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีนี้ มีเป้าหมายเพื่อเจาะระบบ Struts เข้าไปแล้วลอบติดตั้ง CNRig Cryptocurrency Miner โดยหวังให้เซิร์ฟเวอร์เป้าหมายขุดเหรียญดิจิทัลสร้างรายได้ให้แก่ตัวเอง อย่างไรก็ตาม สเกลการโจมตีนี้ถือว่ายังไม่ใหญ่มากนัก เนื่องจากช่องโหว่ CVE-2018-11776 ไม่สามารถใช้ได้กับการตั้งค่า Struts แบบ Default ที่มาจากโรงงาน

ช่องโหว่ CVE-2018-11776 ส่งผลกระทบบน Apache Struts เวอร์ชัน 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 ซึ่งทาง Apache ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย แนะนำให้ผู้ดูแลระบบอัปเดตเป็นเวอร์ชัน 2.3.35 หรือ 2.5.17 โดยเร็ว

ที่มา: https://www.bleepingcomputer.com/news/security/active-attacks-detected-using-apache-struts-vulnerability-cve-2018-11776/

Tags apache struts 2 cve-2018-11776 rce remote code execution security patch vulnerability

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Chrome 84 ออกแล้ว!

Google ได้ประกาศปล่อย Chrome 84 ออกมาแล้ว ซึ่งไม่ได้มีการเปลี่ยนแปลงเรื่องฟีเจอร์มากนัก แต่มีการอัปเดตด้าน Security ระดับร้ายแรง ซึ่งทาง CISA มีคำเตือนออกมาแล้วว่าให้รีบอัปเดต

Extreme Networks Webinar: ประยุกต์ใช้เทคโนโลยีระบบ Cloud เพิ่มความคล่องตัวในยุค New Normal

Extreme Networks ร่วมกับ Westcon Group (Thailand) ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าร่วม Extreme Networks Webinar เรื่อง “ประยุกต์ใช้เทคโนโลยีระบบ Cloud เพิ่มความคล่องตัวในยุค New Normal” พร้อมเรียนรู้วิธีการเชื่อมต่อองค์กรของคุณด้วย Cloud Networking อย่างมั่นคงปลอดภัย ในวันพฤหัสบดีที่ 23 กรกฎาคม 2020 เวลา 14:00 - 15:30 น. ผ่าน Live Webinar ฟรี