Breaking News

พบช่องโหว่ Zero-day บน Apache เสี่ยงถูกโจมตีแบบ Remote Code Execution

สัปดาห์ที่ผ่านมา Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน Apache Struts2 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution (RCE) ผ่านทางพารามิเตอร์ Content-Type ได้ ล่าสุดนักวิจัยจาก HPE ขยายผลช่องโหว่ พบว่าสามารถโจมตีผ่านพารามิเตอร์อื่นได้ด้วยเช่นกัน

ช่องโหว่ดังกล่าวมีรหัส CVE-2017-5638 เป็นช่องโหว่บน Jakarta Multipart Parser Library ใน Apache Struts2 เวอร์ชัน 2.3.x (2.3.5 – 2.3.31) และ 2.5.x (ก่อน 2.5.10.1) ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งคำสั่งหลากหลายประเภทให้เข้ามารันผ่านทางพารามิเตอร์ Content-Type ได้ ตั้งแต่คำสั่ง “whoami” ไปจนถึงชุดคำสั่งสำหรับดาวน์โหลด ELF Executable มารันบน Web Server

ล่าสุด I-SECURE ผู้ให้บริการ Managed Security Services ชื่อดัง ออกมาโพสต์อัปเดตช่องโหว่ดังกล่าวว่า @Alvaro_munoz นักวิจัยจาก HPE ได้ทำการค้นคว้าช่องโหว่เพิ่มเติม พบว่า Apache Struts2 ไม่ได้มีช่องโหว่ที่พารามิเตอร์ Content-Type เพียงอย่างเดียว แต่ยังพบในส่วนของพารามิเตอร์ Content-Disposition ซึ่งเป็นส่วน Upload Body Data อีกด้วย โดยเงื่อนไขการเกิดช่องโหว่ คือ

  • มีการใช้งาน JakartaStreamMultipartRequest Library ซึ่งไม่ใช่ Default Library ที่จะนำมาใช้งาน (<constant name=”struts.multipart.parser” value=”jakarta-stream” />)
  • ขนาดของ Content-Length มากกว่าค่าสูงสุดที่ Apache Struts2 กำหนดในการอัปโหลด (Default คือ 2 GB)
  • ชื่อไฟล์มีลักษณะเป็น OGNL (ภาษาสำหรับการดึงค่าหรือการกำหนดของ Java Setting )

หากครบทุกเงื่อนไขตามที่กำหนดก็จะทำให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution ได้ทันที

“ตอนนี้ช่องโหว่บน Apache Struts2 มีโค้ด POC ออกมาให้ทดสอบเรียบร้อย แนะนำให้ผู้ใช้ Jakarta Multipart Parser อัปเกรด Apache Struts2 ไปเป็นเวอร์ชัน 2.3.32 หรือ 2.5.10.1 โดยเร็ว”I-SECURE ระบุ

อย่างไรก็ตาม สำหรับองค์กรที่ไม่สามารถอัปเดตแพทช์ได้ทันที สามารถติดต่อทีมงาน I-SECURE หรือ UIH เพื่อเรียกใช้บริการ Managed WAF สำหรับทำ Policy Tuning และ Virtual Patching บน Imperva Web Application Firewall เพื่ออุดช่องโหว่ดังกล่าวได้ทันที

รายละเอียดเพิ่มเติม: http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html และ
https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#.WNDOFxKGNgf



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Webinar Replay] เสริมความมั่นคงปลอดภัยให้ธุรกิจไทย – แนวทางการปรับใช้ NIST Cybersecurity Framework (CSF) ในธุรกิจองค์กร

รับชม Webinar ย้อนหลัง กับประเด็น "เสริมความมั่นคงปลอดภัยให้ธุรกิจไทย – แนวทางการปรับใช้ NIST Cybersecurity Framework (CSF) ในธุรกิจองค์กร"

อัปเดตของใหม่ในงาน AWS re: Invent 2019 และโอกาสตลาดคลาวด์ประเทศไทย

แม้ว่างานใหญ่ของ AWS จะผ่านไปสักระยะหนึ่งแล้ว แต่วันนี้ทางทีมงาน TechTalkThai ได้มีโอกาสเข้าร่วมฟังงานจาก AWS Thailand ซึ่งสรุปถึงฟีเจอร์ใหม่อีกครั้งหนึ่ง แต่เสริมมุมมองความเป็นไปได้ควบคู่ไปกับโอกาสของตลาดคลาวด์สำหรับประเทศไทยโดยเฉพาะ