Breaking News

พบช่องโหว่ Zero-day บน Apache เสี่ยงถูกโจมตีแบบ Remote Code Execution

สัปดาห์ที่ผ่านมา Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน Apache Struts2 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution (RCE) ผ่านทางพารามิเตอร์ Content-Type ได้ ล่าสุดนักวิจัยจาก HPE ขยายผลช่องโหว่ พบว่าสามารถโจมตีผ่านพารามิเตอร์อื่นได้ด้วยเช่นกัน

ช่องโหว่ดังกล่าวมีรหัส CVE-2017-5638 เป็นช่องโหว่บน Jakarta Multipart Parser Library ใน Apache Struts2 เวอร์ชัน 2.3.x (2.3.5 – 2.3.31) และ 2.5.x (ก่อน 2.5.10.1) ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งคำสั่งหลากหลายประเภทให้เข้ามารันผ่านทางพารามิเตอร์ Content-Type ได้ ตั้งแต่คำสั่ง “whoami” ไปจนถึงชุดคำสั่งสำหรับดาวน์โหลด ELF Executable มารันบน Web Server

ล่าสุด I-SECURE ผู้ให้บริการ Managed Security Services ชื่อดัง ออกมาโพสต์อัปเดตช่องโหว่ดังกล่าวว่า @Alvaro_munoz นักวิจัยจาก HPE ได้ทำการค้นคว้าช่องโหว่เพิ่มเติม พบว่า Apache Struts2 ไม่ได้มีช่องโหว่ที่พารามิเตอร์ Content-Type เพียงอย่างเดียว แต่ยังพบในส่วนของพารามิเตอร์ Content-Disposition ซึ่งเป็นส่วน Upload Body Data อีกด้วย โดยเงื่อนไขการเกิดช่องโหว่ คือ

  • มีการใช้งาน JakartaStreamMultipartRequest Library ซึ่งไม่ใช่ Default Library ที่จะนำมาใช้งาน (<constant name=”struts.multipart.parser” value=”jakarta-stream” />)
  • ขนาดของ Content-Length มากกว่าค่าสูงสุดที่ Apache Struts2 กำหนดในการอัปโหลด (Default คือ 2 GB)
  • ชื่อไฟล์มีลักษณะเป็น OGNL (ภาษาสำหรับการดึงค่าหรือการกำหนดของ Java Setting )

หากครบทุกเงื่อนไขตามที่กำหนดก็จะทำให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution ได้ทันที

“ตอนนี้ช่องโหว่บน Apache Struts2 มีโค้ด POC ออกมาให้ทดสอบเรียบร้อย แนะนำให้ผู้ใช้ Jakarta Multipart Parser อัปเกรด Apache Struts2 ไปเป็นเวอร์ชัน 2.3.32 หรือ 2.5.10.1 โดยเร็ว”I-SECURE ระบุ

อย่างไรก็ตาม สำหรับองค์กรที่ไม่สามารถอัปเดตแพทช์ได้ทันที สามารถติดต่อทีมงาน I-SECURE หรือ UIH เพื่อเรียกใช้บริการ Managed WAF สำหรับทำ Policy Tuning และ Virtual Patching บน Imperva Web Application Firewall เพื่ออุดช่องโหว่ดังกล่าวได้ทันที

รายละเอียดเพิ่มเติม: http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html และ
https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#.WNDOFxKGNgf



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] IBM เปิดให้ใช้ MaaS360 ฟรี 90 วัน โซลูชันที่เข้ามาช่วยตอบโจทย์ WORK FROM HOME สำหรับองค์กร

IBM เปิดให้ใช้ MaaS360 ฟรี 90 วัน !! โซลูชันที่เข้ามาช่วยตอบโจทย์ WORK FROM HOME สำหรับองค์กร ช่วยให้องค์กรสามารถสร้างระบบ File Share …

[Video Webinar] เตรียมความพร้อม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วย Cisco Security Platform

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย Cisco Webinar เรื่อง “เตรียมความพร้อม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วย Cisco Security Platform” พร้อมแนะนำโซลูชันด้านความมั่นคงปลอดภัยสำหรับ Work from Home …