พบช่องโหว่ RCE บน Apache Struts2 เสี่ยงถูกแฮ็คเกอร์เข้าควบคุม Web Server

นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงช่องโหว่ Remote Code Execution (RCE) ความรุนแรงระดับ Critical บน Web Application Framework ยอดนิยมอย่าง Apache Struts ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ดอันตรายเข้ามารันบน Web Server ได้ทันที

Credit: Ditty about summer/ShutterStock

Apache Struts เป็น Model-View-Controller (MVC) Framework แบบ Open-source สำหรับใช้พัฒนาเว็บแอพพลิเคชันภาษา Java โดยรองรับ REST, AJAX และ JSON ซึ่งเป็นหนึ่งใน Framework ฟรีที่นักพัฒนาเว็บหลายคนเลือกใช้ ไม่ว่าจะเป็น Lockheed Martin, Vodafone, Virgin Atlantic หรือ IRS

ช่องโหว่ RCE ที่ค้นพบนี้มีหมายเลข CVE-2017-9805 มีสาเหตุมาจากการที่ Struts REST Plugin ผิดพลาดในการจัดการ XML Payload อย่างเหมาะสมขณะทำการ Deserialize หรืออธิบายให้เข้าใจง่ายๆ คือเป็นบั๊กของโปรแกรมขณะประมวลผลข้อมูลที่ได้รับมาจาก Untrusted Source ที่สำคัญคือ ช่องโหว่นี้สามารถโจมตีได้ง่ายมาก ผ่านทางการใช้เว็บเบราเซอร์และโค้ด XML ที่ถูกออกแบบมาเป็นพิเศษ ผลลัพธ์คือ แฮ็คเกอร์สามารถเข้าควบคุม Web Server เครื่องนั้นๆ ได้ทันที

Apache Struts เวอร์ชัน 2.5 ตั้งแต่ปี 2008 จนถึงเวอร์ชัน 2.5.12 ล่าสุดต่างได้รับผลกระทบจากช่องโหว่นี้ทั้งสิ้น อย่างไรก็ตาม Apache ได้ออกแพทช์สำหรับอุดช่องโหว่ใน Struts เวอร์ชัน 2.5.13 เป็นที่เรียบร้อย แนะนำให้ผู้ดูแลระบบอัปเดตโดยเร็ว

ที่มา: http://thehackernews.com/2017/09/apache-struts-vulnerability.html




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Red Hat ออก Patch ใหม่ ยกเลิกการแก้ไขช่องโหว่ Spectre หลังผู้ใช้งานแจ้งว่า Boot เครื่องไม่ขึ้น

หลังจากที่ก่อนหน้านี้ทาง Red Hat ได้ออก Patch แก้ไขช่องโหว่ Spectre มา ตอนนี้ทาง Red Hat ต้องออก Patch ใหม่เพื่อยกเลิก Patch …

Gartner ออก Magic Quadrant ทางด้าน IDS/IPS ประจำปี 2018

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Intrusion Detection and Prevention Systems (IDPS) ประจำปี 2018 ผล …