พบช่องโหว่ RCE บน Apache Struts2 เสี่ยงถูกแฮ็คเกอร์เข้าควบคุม Web Server

นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงช่องโหว่ Remote Code Execution (RCE) ความรุนแรงระดับ Critical บน Web Application Framework ยอดนิยมอย่าง Apache Struts ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ดอันตรายเข้ามารันบน Web Server ได้ทันที

Credit: Ditty about summer/ShutterStock

Apache Struts เป็น Model-View-Controller (MVC) Framework แบบ Open-source สำหรับใช้พัฒนาเว็บแอพพลิเคชันภาษา Java โดยรองรับ REST, AJAX และ JSON ซึ่งเป็นหนึ่งใน Framework ฟรีที่นักพัฒนาเว็บหลายคนเลือกใช้ ไม่ว่าจะเป็น Lockheed Martin, Vodafone, Virgin Atlantic หรือ IRS

ช่องโหว่ RCE ที่ค้นพบนี้มีหมายเลข CVE-2017-9805 มีสาเหตุมาจากการที่ Struts REST Plugin ผิดพลาดในการจัดการ XML Payload อย่างเหมาะสมขณะทำการ Deserialize หรืออธิบายให้เข้าใจง่ายๆ คือเป็นบั๊กของโปรแกรมขณะประมวลผลข้อมูลที่ได้รับมาจาก Untrusted Source ที่สำคัญคือ ช่องโหว่นี้สามารถโจมตีได้ง่ายมาก ผ่านทางการใช้เว็บเบราเซอร์และโค้ด XML ที่ถูกออกแบบมาเป็นพิเศษ ผลลัพธ์คือ แฮ็คเกอร์สามารถเข้าควบคุม Web Server เครื่องนั้นๆ ได้ทันที

Apache Struts เวอร์ชัน 2.5 ตั้งแต่ปี 2008 จนถึงเวอร์ชัน 2.5.12 ล่าสุดต่างได้รับผลกระทบจากช่องโหว่นี้ทั้งสิ้น อย่างไรก็ตาม Apache ได้ออกแพทช์สำหรับอุดช่องโหว่ใน Struts เวอร์ชัน 2.5.13 เป็นที่เรียบร้อย แนะนำให้ผู้ดูแลระบบอัปเดตโดยเร็ว

ที่มา: http://thehackernews.com/2017/09/apache-struts-vulnerability.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เผย…ตลาดมืดออนไลน์ รับยิง DDoS!!

หลายท่านน่าจะพอทราบว่าในยุค Internet of Things อะไรก็เสกขึ้นมาได้ด้วยไอเดีย และกำลังสมองของมนุษย์ Cyber Attacks ก็เช่นกัน ที่หาโจมตีได้ง่ายเหลือเกิน แพคเกตมีให้เลือกหลากหลาย ราคาไม่แพง โปรโมชันก็มี แถมมีการจัดอันดับ TOP …

Machine Learning: ส่วนสำคัญของ Network และ Security จาก HPE Aruba #ATM17APAC

ในงาน HPE Aruba APAC Atmosphere 2017 ที่กำลังจัดขึ้นในมาเก๊าเพื่ออัปเดตเทคโนโลยีใหม่ๆ ของ HPE Aruba ให้กับเหล่าผู้ที่อยู่ในแวดวง IT Infrastructure ระดับองค์กรนี้ ทาง …