พบช่องโหว่ RCE บน Apache Struts2 เสี่ยงถูกแฮ็คเกอร์เข้าควบคุม Web Server

นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงช่องโหว่ Remote Code Execution (RCE) ความรุนแรงระดับ Critical บน Web Application Framework ยอดนิยมอย่าง Apache Struts ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ดอันตรายเข้ามารันบน Web Server ได้ทันที

Credit: Ditty about summer/ShutterStock

Apache Struts เป็น Model-View-Controller (MVC) Framework แบบ Open-source สำหรับใช้พัฒนาเว็บแอพพลิเคชันภาษา Java โดยรองรับ REST, AJAX และ JSON ซึ่งเป็นหนึ่งใน Framework ฟรีที่นักพัฒนาเว็บหลายคนเลือกใช้ ไม่ว่าจะเป็น Lockheed Martin, Vodafone, Virgin Atlantic หรือ IRS

ช่องโหว่ RCE ที่ค้นพบนี้มีหมายเลข CVE-2017-9805 มีสาเหตุมาจากการที่ Struts REST Plugin ผิดพลาดในการจัดการ XML Payload อย่างเหมาะสมขณะทำการ Deserialize หรืออธิบายให้เข้าใจง่ายๆ คือเป็นบั๊กของโปรแกรมขณะประมวลผลข้อมูลที่ได้รับมาจาก Untrusted Source ที่สำคัญคือ ช่องโหว่นี้สามารถโจมตีได้ง่ายมาก ผ่านทางการใช้เว็บเบราเซอร์และโค้ด XML ที่ถูกออกแบบมาเป็นพิเศษ ผลลัพธ์คือ แฮ็คเกอร์สามารถเข้าควบคุม Web Server เครื่องนั้นๆ ได้ทันที

Apache Struts เวอร์ชัน 2.5 ตั้งแต่ปี 2008 จนถึงเวอร์ชัน 2.5.12 ล่าสุดต่างได้รับผลกระทบจากช่องโหว่นี้ทั้งสิ้น อย่างไรก็ตาม Apache ได้ออกแพทช์สำหรับอุดช่องโหว่ใน Struts เวอร์ชัน 2.5.13 เป็นที่เรียบร้อย แนะนำให้ผู้ดูแลระบบอัปเดตโดยเร็ว

ที่มา: http://thehackernews.com/2017/09/apache-struts-vulnerability.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Fortinet เปิดตัว Fortigate รุ่นใหม่ 300E และ 500E

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยประสิทธิภาพสูง เปิดตัว Fortigate Firewall ใหม่ 2 รุ่น คือ Fortigate 300E และ 500E ตอบโจทย์การใช้งานขององค์กรในยุค IoT …

ทางการสหรัฐ Hack เครื่องบิน Boeing 757 ได้สำเร็จ ชี้สายการบินอาจล้มละลายได้หากต้องอุดช่องโหว่

ภายในงาน 2017 CyberSat Summit ที่จัดขึ้นใน Virgina ได้มีการเปิดเผยถึงความสำเร็จของ Department of Homeland Security (DHS) หรือกรมความมั่นคงแห่งมาตุภูมิสหรัฐที่สามารถทำการ Hack เครื่องบิน …