Black Hat Asia 2023
Black Hat Asia 2023

พบช่องโหว่ Zero-day บน Apache เสี่ยงถูกโจมตีแบบ Remote Code Execution

March 21, 2017 Cisco, HPE, Products, Security, Threats Update, Vulnerability and Risk Management, Web Security

สัปดาห์ที่ผ่านมา Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน Apache Struts2 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution (RCE) ผ่านทางพารามิเตอร์ Content-Type ได้ ล่าสุดนักวิจัยจาก HPE ขยายผลช่องโหว่ พบว่าสามารถโจมตีผ่านพารามิเตอร์อื่นได้ด้วยเช่นกัน

ช่องโหว่ดังกล่าวมีรหัส CVE-2017-5638 เป็นช่องโหว่บน Jakarta Multipart Parser Library ใน Apache Struts2 เวอร์ชัน 2.3.x (2.3.5 – 2.3.31) และ 2.5.x (ก่อน 2.5.10.1) ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งคำสั่งหลากหลายประเภทให้เข้ามารันผ่านทางพารามิเตอร์ Content-Type ได้ ตั้งแต่คำสั่ง “whoami” ไปจนถึงชุดคำสั่งสำหรับดาวน์โหลด ELF Executable มารันบน Web Server

ล่าสุด I-SECURE ผู้ให้บริการ Managed Security Services ชื่อดัง ออกมาโพสต์อัปเดตช่องโหว่ดังกล่าวว่า @Alvaro_munoz นักวิจัยจาก HPE ได้ทำการค้นคว้าช่องโหว่เพิ่มเติม พบว่า Apache Struts2 ไม่ได้มีช่องโหว่ที่พารามิเตอร์ Content-Type เพียงอย่างเดียว แต่ยังพบในส่วนของพารามิเตอร์ Content-Disposition ซึ่งเป็นส่วน Upload Body Data อีกด้วย โดยเงื่อนไขการเกิดช่องโหว่ คือ

  • มีการใช้งาน JakartaStreamMultipartRequest Library ซึ่งไม่ใช่ Default Library ที่จะนำมาใช้งาน (<constant name=”struts.multipart.parser” value=”jakarta-stream” />)
  • ขนาดของ Content-Length มากกว่าค่าสูงสุดที่ Apache Struts2 กำหนดในการอัปโหลด (Default คือ 2 GB)
  • ชื่อไฟล์มีลักษณะเป็น OGNL (ภาษาสำหรับการดึงค่าหรือการกำหนดของ Java Setting )

หากครบทุกเงื่อนไขตามที่กำหนดก็จะทำให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution ได้ทันที

“ตอนนี้ช่องโหว่บน Apache Struts2 มีโค้ด POC ออกมาให้ทดสอบเรียบร้อย แนะนำให้ผู้ใช้ Jakarta Multipart Parser อัปเกรด Apache Struts2 ไปเป็นเวอร์ชัน 2.3.32 หรือ 2.5.10.1 โดยเร็ว”I-SECURE ระบุ

อย่างไรก็ตาม สำหรับองค์กรที่ไม่สามารถอัปเดตแพทช์ได้ทันที สามารถติดต่อทีมงาน I-SECURE หรือ UIH เพื่อเรียกใช้บริการ Managed WAF สำหรับทำ Policy Tuning และ Virtual Patching บน Imperva Web Application Firewall เพื่ออุดช่องโหว่ดังกล่าวได้ทันที

รายละเอียดเพิ่มเติม: http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html และ
https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#.WNDOFxKGNgf

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

MFEC: พลิกโฉมการจัดการ Infrastructure ตอบโจทย์ Modernize Application ด้วย VMware Tanzu

แนวคิดการยกเครื่องแอปพลิเคชันเดิมสู่บริบทของการทำงานสมัยใหม่หรือที่เรียกว่า Modernization นั้นเริ่มกลายเป็นนโยบายหลักขององค์กร เนื่องจากหลายปีที่ผ่านมาการก้าวเข้ามาของเทคโนโลยี Container นั้นได้สนับสนุนให้แนวคิดนี้ทำได้สะดวกขึ้น อีกทั้งยังช่วยให้แอปพลิเคชันสามารถนำพลังจากเทคโนโลยีคลาวด์มาใช้ได้อย่างเกิดประโยชน์สูงสุด แต่ในความเป็นจริงแล้วผู้ดูแลระบบไอทีขององค์กรกลับกำลังเผชิญกับความท้าทายมากมาย ซึ่ง VMware Tanzu คือแพลตฟอร์มที่จะช่วยให้องค์กรสามารถบรรลุเป้าหมายของการทำ Modernization ประสบความสำเร็จได้ โดยที่ยังรักษาระบบการทำงานแบบเดิม …

บริหารจัดการ Multi-Cloud ครบวงจรอย่างมั่นใจ ด้วย VMware Aria จาก Fujitsu

แม้ Multi-Cloud จะไม่ใช่เรื่องใหม่สำหรับธุรกิจองค์กรแล้วในทุกวันนี้ แต่การบริหารจัดการ Multi-Cloud ให้มีประสิทธิภาพได้อย่างรอบด้านนั้นก็ยังคงเป็นความท้าทายของผู้บริหารฝ่าย IT ในหลายองค์กร เพราะ Cloud แต่ละระบบนั้นต่างก็มีความแตกต่างในเชิงรายละเอียด และยากต่อการรวบรวมข้อมูลการใช้งานมาวิเคราะห์แบบรวมศูนย์

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand