Breaking News

พบช่องโหว่ความรุนแรงสูงสุดบน Apache Struts 2 เตือนผู้ใช้งานอัปเดตด่วน

มีการค้นพบช่องโหว่ Remote Code Execution (RCE) บน Apache Struts 2 ที่ทาง Apache เองแนะนำให้ผู้ใช้งานทุกรายอัปเดตทันทีโดยด่วน

 

Credit: Apache

 

Semmle Security Research Team ได้ค้นพบช่องโหว่นี้ตั้งแต่เดือนเมษายน 2018 และได้รายงานไปยังทีมพัฒนาของ Apache จนได้ออก Patch เฉพาะกิจมาในเดือนมิถุนายน และออกเป็น Patch มาตรฐานในตอนนี้ โดยช่องโหว่นี้ได้รับรหัส CVE-2018-11776 และถือว่ามีความร้ายแรงระดับสูงสุด ซึ่งตัวช่องโหว่เองได้ปรากฎอยู่บน Core Code ของระบบเลย ไม่ได้เกี่ยวข้องกับ Plugin ใดๆ ที่ใช้งานทั้งสิ้น

ช่องโหว่นี้จะทำงานได้ก็ต่อเมื่อ

  • ตั้งค่า alwaysSelectFullNamespace เอาไว้เป็น True
  • มี Configuration File ที่มีแท็ก <action …> ซึ่งไม่ได้ระบุ Optional Namespace Attribute หรือมีการระบุ Wildcard Namespace เอาไว้

ถ้าหากผู้ใช้งานไม่ได้เข้าเงื่อนไขเหล่านี้ก็มีความเสี่ยงที่จะถูกโจมตีต่ำ แต่ทาง Apache ก็เตือนว่าในอนาคตอันใกล้อาจมีวิธีการโจมตีในช่องทางอื่นๆ ที่อาศัยช่องโหว่นี้ในการโจมตี ดังนั้นการอัปเดต Patch ก็จะช่วยลดความเสี่ยงได้ดีที่สุด

ก่อนหน้านี้ช่องโหว่บน Apache Struts นี้นำไปสู่กรณีของ Equifax อันโด่งดังที่ทำให้มีผู้เสียหายเกือบ 150 ล้านคน และสร้างความเสียหายให้กับ Equifax ไปมากกว่า 600 ล้านเหรียญ ประเด็นนี้จึงถือว่าใหญ่ไม่น้อยเพราะการโจมตีช่องโหว่นี้ก็อาจเกิดขึ้นได้ทุกเมื่อหากไม่ทำการอัปเดตอุดช่องโหว่ให้เร็วที่สุด

 

ที่มา: https://www.theregister.co.uk/2018/08/22/apache_struts_2_vulnerability/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผู้เชี่ยวชาญเผยกลุ่มแฮ็กเกอร์อิหร่านใช้ช่องโหว่เซิร์ฟเวอร์ VPN ลอบเข้าฝัง Backdoor

ClearSky บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์จากอิสราเอลได้เปิดเผยข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์จากอิหร่านว่าที่ผ่านมาได้มุ่งโจมตีเซิร์ฟเวอร์ VPN ด้วยช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะเช่นที่เกิดขึ้นกับผลิตภัณฑ์ Fortinet, Palo Alto Networks, Pulse Secure และ Citrix

นักวิจัยพบช่องโหว่หลายรายการใน Bluetooth Low Energy

กลุ่มนักวิจัยจาก Singapore University of Technology and Design ได้ออกมาเปิดเผยชุดช่องโหว่กว่า 12 รายการที่เกิดขึ้นกับการ Implement ของ Bluetooth Low Energy …