Patch Now: ใช้ประโยชน์จากกิจกรรม Mounts สำหรับ Bug Apache Struts 2 ที่เป็นอันตราย

Patch Now: ใช้ประโยชน์จากกิจกรรม Mounts สำหรับ Bug Apache Struts 2 ที่เป็นอันตราย

ประทับเวลา: 15 ธันวาคม 2023 3:55 น.
แพตช์ทันที: ใช้ประโยชน์จากกิจกรรม Mounts สำหรับ Apache Struts 2 Bug PlatoBlockchain Data Intelligence ที่เป็นอันตราย ค้นหาแนวตั้ง AI.

มีความกังวลอย่างมากเกี่ยวกับช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ที่สำคัญที่เพิ่งเปิดเผยใน Apache Struts 2 ซึ่งผู้โจมตีได้ใช้ประโยชน์อย่างแข็งขันในช่วงไม่กี่วันที่ผ่านมา

Apache Struts เป็นเฟรมเวิร์กโอเพ่นซอร์สที่ใช้กันอย่างแพร่หลายสำหรับการสร้างแอปพลิเคชัน Java นักพัฒนาสามารถใช้มันเพื่อสร้างเว็บแอปพลิเคชันแบบโมดูลาร์ตามสิ่งที่เรียกว่าสถาปัตยกรรม Model-View-Controller (MVC) มูลนิธิซอฟต์แวร์ Apache (ASF) เปิดเผยข้อผิดพลาด เมื่อวันที่ 7 ธันวาคม และให้คะแนนความรุนแรงใกล้เคียงสูงสุดที่ 9.8 จาก 10 ในระดับ CVSS ช่องโหว่ติดตามเป็น CVE-2023-50164 เกี่ยวข้องกับวิธีที่ Struts จัดการพารามิเตอร์ในการอัพโหลดไฟล์ และช่วยให้ผู้โจมตีสามารถควบคุมระบบที่ได้รับผลกระทบได้อย่างสมบูรณ์

ปัญหาด้านความปลอดภัยที่แพร่หลายอย่างกว้างขวางซึ่งส่งผลต่อ Java Apps

ข้อบกพร่องดังกล่าวทำให้เกิดความกังวลอย่างมาก เนื่องจากแพร่หลาย ข้อเท็จจริงที่ว่าสามารถเรียกใช้งานได้จากระยะไกล และเนื่องจากโค้ดการหาประโยชน์แบบพิสูจน์แนวคิดนั้นเปิดเผยต่อสาธารณะ นับตั้งแต่มีการเปิดเผยข้อบกพร่องเมื่อสัปดาห์ที่แล้ว ผู้จำหน่ายหลายราย — และหน่วยงานต่างๆ เช่น ShadowServer — ได้รายงานว่าพบสัญญาณของกิจกรรมการหาประโยชน์โดยมุ่งเป้าไปที่ข้อบกพร่อง

ASF เองได้อธิบาย Apache Struts ว่ามี “ฐานผู้ใช้ขนาดใหญ่” เนื่องจากข้อเท็จจริงที่ว่ามันมีมานานกว่าสองทศวรรษแล้ว ผู้เชี่ยวชาญด้านความปลอดภัยประเมินว่ามีแอปพลิเคชันหลายพันรายการทั่วโลก รวมถึงแอปพลิเคชันที่ใช้งานอยู่ในบริษัทและองค์กรที่ติดทำเนียบ Fortune 500 ในภาคภาครัฐและภาคโครงสร้างพื้นฐานที่สำคัญ ซึ่งใช้ Apache Struts  

เทคโนโลยีของผู้จำหน่ายหลายรายรวม Apache Struts 2 ไว้ด้วย ตัวอย่างเช่น Cisco คือ ปัจจุบันกำลังสืบสวน ผลิตภัณฑ์ทั้งหมดที่อาจได้รับผลกระทบจากจุดบกพร่องและวางแผนที่จะเผยแพร่ข้อมูลเพิ่มเติมและการอัปเดตเมื่อจำเป็น ผลิตภัณฑ์ที่อยู่ภายใต้การตรวจสอบ ได้แก่ เทคโนโลยีการจัดการและการจัดเตรียมเครือข่ายของ Cisco ผลิตภัณฑ์การสื่อสารด้วยเสียงและแบบครบวงจร และแพลตฟอร์มการทำงานร่วมกันกับลูกค้า

ช่องโหว่นี้ส่งผลต่อ Struts เวอร์ชัน 2.5.0 ถึง 2.5.32 และ Struts เวอร์ชัน 6.0.0 ถึง 6.3.0 จุดบกพร่องนี้ยังปรากฏใน Struts เวอร์ชัน 2.0.0 ถึง Struts 2.3.37 ซึ่งขณะนี้หมดอายุการใช้งานแล้ว

ASF ผู้จำหน่ายระบบรักษาความปลอดภัยและหน่วยงานต่างๆ เช่น หน่วยงานรักษาความปลอดภัยทางไซเบอร์และความมั่นคงข้อมูลของสหรัฐอเมริกา (CISA) ได้แนะนำให้องค์กรที่ใช้ซอฟต์แวร์อัปเดตเป็น Struts เวอร์ชัน 2.5.33 หรือ Struts 6.3.0.2 หรือสูงกว่าทันที ไม่มีการบรรเทาผลกระทบสำหรับช่องโหว่ตาม ASF

ในช่วงไม่กี่ปีที่ผ่านมา นักวิจัยได้ค้นพบข้อบกพร่องมากมายใน Struts สิ่งที่สำคัญที่สุดก็คือ CVE-2017-5638 ในปี 2017 ซึ่งส่งผลกระทบต่อองค์กรหลายพันแห่งและทำให้เกิดการละเมิดที่ Equifax ซึ่งเปิดเผยข้อมูลที่ละเอียดอ่อนของผู้บริโภคชาวอเมริกันจำนวน 143 ล้านคน ข้อผิดพลาดดังกล่าวยังคงลอยอยู่ทั่ว — แคมเปญที่ใช้แคมเปญที่เพิ่งค้นพบ มัลแวร์บล็อกเชน NKAbuse ตัวอย่างเช่น กำลังใช้ประโยชน์จากมันเพื่อการเข้าถึงครั้งแรก

Bug อันตรายของ Apache Struts 2 แต่ใช้งานได้ยาก

นักวิจัยจาก Trend Micro ที่วิเคราะห์ช่องโหว่ Apache Struts ใหม่ในสัปดาห์นี้ อธิบายว่ามันเป็นอันตรายแต่ก็ยากกว่ามาก เพื่อใช้ประโยชน์ในวงกว้างกว่าจุดบกพร่องในปี 2017 ซึ่งเป็นมากกว่าปัญหาการสแกนและการใช้ประโยชน์เพียงเล็กน้อย  

“ช่องโหว่ CVE-2023-50164 ยังคงถูกนำไปใช้อย่างกว้างขวางโดยผู้คุกคามที่หลากหลาย ซึ่งใช้ช่องโหว่นี้ในการทำกิจกรรมที่เป็นอันตราย ทำให้เกิดความเสี่ยงด้านความปลอดภัยที่สำคัญสำหรับองค์กรต่างๆ ทั่วโลก” นักวิจัยของ Trend Micro กล่าว

ข้อบกพร่องดังกล่าวทำให้ผู้ไม่หวังดีสามารถจัดการพารามิเตอร์การอัปโหลดไฟล์เพื่อเปิดใช้งานการข้ามผ่านเส้นทาง: “ซึ่งอาจส่งผลให้มีการอัปโหลดไฟล์ที่เป็นอันตราย เปิดใช้งานการเรียกใช้โค้ดจากระยะไกล” พวกเขาตั้งข้อสังเกต

เพื่อใช้ประโยชน์จากข้อบกพร่องนี้ ผู้โจมตีจะต้องสแกนหาและระบุเว็บไซต์หรือเว็บแอปพลิเคชันโดยใช้เวอร์ชัน Apache Struts ที่มีช่องโหว่ Akamai กล่าวใน รายงานสรุปการวิเคราะห์ภัยคุกคาม ในสัปดาห์นี้. จากนั้นพวกเขาจะต้องส่งคำขอที่สร้างขึ้นเป็นพิเศษเพื่ออัปโหลดไฟล์ไปยังไซต์หรือเว็บแอปที่มีช่องโหว่ คำขอจะมีคำสั่งที่ซ่อนอยู่ซึ่งจะทำให้ระบบที่มีช่องโหว่วางไฟล์ในตำแหน่งหรือไดเร็กทอรีที่การโจมตีสามารถเข้าถึงได้ และทริกเกอร์การดำเนินการของโค้ดที่เป็นอันตรายบนระบบที่ได้รับผลกระทบ

"เว็บแอปพลิเคชันต้องมีการดำเนินการบางอย่างเพื่อให้สามารถอัปโหลดไฟล์หลายส่วนที่เป็นอันตรายได้” Sam Tinklenberg นักวิจัยด้านความปลอดภัยอาวุโสของ Akamai กล่าว “ไม่ว่าจะเปิดใช้งานโดยค่าเริ่มต้นหรือไม่นั้นขึ้นอยู่กับการใช้งาน Struts 2 ขึ้นอยู่กับสิ่งที่เราเห็น มีความเป็นไปได้มากกว่าว่านี่ไม่ใช่สิ่งที่เปิดใช้งานโดยค่าเริ่มต้น”

ตัวแปรการหาประโยชน์จาก PoC สองรายการสำหรับ CVE-2023-50164

Akamai กล่าวว่าจนถึงตอนนี้ พบการโจมตีที่กำหนดเป้าหมายไปที่ CVE-2023-50164 โดยใช้ PoC ที่เผยแพร่ต่อสาธารณะ และกิจกรรมการโจมตีอีกชุดหนึ่งโดยใช้สิ่งที่ดูเหมือนจะแตกต่างจาก PoC ดั้งเดิม

“กลไกการหาประโยชน์จะเหมือนกันระหว่างการโจมตีทั้งสองชุด” Tinklenberg กล่าว “อย่างไรก็ตาม รายการที่แตกต่างกันคือจุดสิ้นสุดและพารามิเตอร์ที่ใช้ในการพยายามหาประโยชน์”

ข้อกำหนดสำหรับผู้โจมตีในการใช้ประโยชน์จากช่องโหว่นั้นอาจแตกต่างกันอย่างมากตามการใช้งาน Tinklenberg กล่าวเสริม ซึ่งรวมถึงความจำเป็นที่แอปที่มีช่องโหว่จะต้องเปิดใช้งานฟังก์ชันการอัปโหลดไฟล์ และเพื่อให้ผู้ใช้ที่ไม่ได้รับการรับรองความถูกต้องสามารถอัปโหลดไฟล์ได้ หากแอปที่มีช่องโหว่ไม่อนุญาตให้ผู้ใช้อัปโหลดโดยไม่ได้รับอนุญาต ผู้โจมตีจะต้องได้รับการตรวจสอบสิทธิ์และการอนุญาตผ่านวิธีอื่น ผู้โจมตีจะต้องระบุจุดสิ้นสุดโดยใช้ฟังก์ชันอัพโหลดไฟล์ที่มีช่องโหว่ เขากล่าว

แม้ว่าช่องโหว่นี้ใน Apache Struts อาจไม่สามารถหาประโยชน์ได้ในวงกว้างเมื่อเทียบกับข้อบกพร่องก่อนหน้านี้ แต่การมีอยู่ของช่องโหว่ดังกล่าวในกรอบการทำงานที่นำมาใช้กันอย่างแพร่หลายทำให้เกิดข้อกังวลด้านความปลอดภัยที่สำคัญอย่างแน่นอน Saeed Abbasi ผู้จัดการฝ่ายวิจัยช่องโหว่และภัยคุกคามที่ Qualys กล่าว

“ช่องโหว่นี้มีความโดดเด่นเนื่องจากความซับซ้อนและเงื่อนไขเฉพาะที่จำเป็นสำหรับการหาประโยชน์ ซึ่งทำให้การโจมตีในวงกว้างทำได้ยากแต่เป็นไปได้” เขากล่าว “เนื่องจากการบูรณาการอย่างกว้างขวางของ Apache Struts ในระบบที่สำคัญต่างๆ จึงไม่สามารถประเมินศักยภาพของการโจมตีแบบกำหนดเป้าหมายต่ำเกินไปได้”

ประทับเวลา:

เพิ่มเติมจาก การอ่านที่มืด