Breaking News

พบช่องโหว่ Zero-day บน Apache เสี่ยงถูกโจมตีแบบ Remote Code Execution

สัปดาห์ที่ผ่านมา Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน Apache Struts2 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution (RCE) ผ่านทางพารามิเตอร์ Content-Type ได้ ล่าสุดนักวิจัยจาก HPE ขยายผลช่องโหว่ พบว่าสามารถโจมตีผ่านพารามิเตอร์อื่นได้ด้วยเช่นกัน

ช่องโหว่ดังกล่าวมีรหัส CVE-2017-5638 เป็นช่องโหว่บน Jakarta Multipart Parser Library ใน Apache Struts2 เวอร์ชัน 2.3.x (2.3.5 – 2.3.31) และ 2.5.x (ก่อน 2.5.10.1) ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งคำสั่งหลากหลายประเภทให้เข้ามารันผ่านทางพารามิเตอร์ Content-Type ได้ ตั้งแต่คำสั่ง “whoami” ไปจนถึงชุดคำสั่งสำหรับดาวน์โหลด ELF Executable มารันบน Web Server

ล่าสุด I-SECURE ผู้ให้บริการ Managed Security Services ชื่อดัง ออกมาโพสต์อัปเดตช่องโหว่ดังกล่าวว่า @Alvaro_munoz นักวิจัยจาก HPE ได้ทำการค้นคว้าช่องโหว่เพิ่มเติม พบว่า Apache Struts2 ไม่ได้มีช่องโหว่ที่พารามิเตอร์ Content-Type เพียงอย่างเดียว แต่ยังพบในส่วนของพารามิเตอร์ Content-Disposition ซึ่งเป็นส่วน Upload Body Data อีกด้วย โดยเงื่อนไขการเกิดช่องโหว่ คือ

  • มีการใช้งาน JakartaStreamMultipartRequest Library ซึ่งไม่ใช่ Default Library ที่จะนำมาใช้งาน (<constant name=”struts.multipart.parser” value=”jakarta-stream” />)
  • ขนาดของ Content-Length มากกว่าค่าสูงสุดที่ Apache Struts2 กำหนดในการอัปโหลด (Default คือ 2 GB)
  • ชื่อไฟล์มีลักษณะเป็น OGNL (ภาษาสำหรับการดึงค่าหรือการกำหนดของ Java Setting )

หากครบทุกเงื่อนไขตามที่กำหนดก็จะทำให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution ได้ทันที

“ตอนนี้ช่องโหว่บน Apache Struts2 มีโค้ด POC ออกมาให้ทดสอบเรียบร้อย แนะนำให้ผู้ใช้ Jakarta Multipart Parser อัปเกรด Apache Struts2 ไปเป็นเวอร์ชัน 2.3.32 หรือ 2.5.10.1 โดยเร็ว”I-SECURE ระบุ

อย่างไรก็ตาม สำหรับองค์กรที่ไม่สามารถอัปเดตแพทช์ได้ทันที สามารถติดต่อทีมงาน I-SECURE หรือ UIH เพื่อเรียกใช้บริการ Managed WAF สำหรับทำ Policy Tuning และ Virtual Patching บน Imperva Web Application Firewall เพื่ออุดช่องโหว่ดังกล่าวได้ทันที

รายละเอียดเพิ่มเติม: http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html และ
https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#.WNDOFxKGNgf



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

แนะนำ Eaton 9E UPS: อุปกรณ์สำรองไฟอเนกประสงค์สำหรับธุรกิจขนาด 1000-3000VA

เมื่อการใช้เทคโนโลยีเข้ามามีบทบาทในการทำงานมาก และการทำงานเฉพาะทางหลายประเภทก็ต้องอาศัยอุปกรณ์หรือเครื่องมือที่ต้องใช้ไฟฟ้าในการทำงาน UPS หรืออุปกรณ์สำรองไฟฟ้าก็กลายเป็นสิ่งที่จำเป็นต่อธุรกิจให้ดำเนินต่อไปได้อย่างไม่สะดุด และ Eaton เองก็มีอุปกรณ์ UPS รุ่นเล็กอเนกประสงค์สำหรับใช้งานในภาคธุรกิจโดยเฉพาะ อย่าง Eaton 9E UPS ซึ่งบทความนี้เราจะมาแนะนำให้ทุกท่านรู้จักกันครับ

SAS Webinar: ส่องอนาคตปี 2030: 5 เทคโนโลยีสำคัญที่ช่วยขับเคลื่อนการพัฒนา Customer Experience

SAS ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน IT และ Data Science เข้าฟังบรรยาย SAS Webinar เรื่อง “ส่องอนาคตปี 2030: 5 เทคโนโลยีสำคัญที่ช่วยขับเคลื่อนการพัฒนา Customer Experience” พร้อมอัปเดตแนวโน้มของผู้บริโภคและผู้ประกอบการล่าสุดในอีก 10 ปีข้างหน้า เพื่อให้องค์กรสามารถเตรียมการด้าน Analytics ได้อย่างมีประสิทธิภาพ ในวันอังคารที่ 11 สิงหาคม 2020 เวลา 14:00 น. ผ่าน Live Webinar ฟรี