มีความกังวลอย่างมากเกี่ยวกับช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ที่สำคัญที่เพิ่งเปิดเผยใน Apache Struts 2 ซึ่งผู้โจมตีได้ใช้ประโยชน์อย่างแข็งขันในช่วงไม่กี่วันที่ผ่านมา
Apache Struts เป็นเฟรมเวิร์กโอเพ่นซอร์สที่ใช้กันอย่างแพร่หลายสำหรับการสร้างแอปพลิเคชัน Java นักพัฒนาสามารถใช้มันเพื่อสร้างเว็บแอปพลิเคชันแบบโมดูลาร์ตามสิ่งที่เรียกว่าสถาปัตยกรรม Model-View-Controller (MVC) มูลนิธิซอฟต์แวร์ Apache (ASF) เปิดเผยข้อผิดพลาด เมื่อวันที่ 7 ธันวาคม และให้คะแนนความรุนแรงใกล้เคียงสูงสุดที่ 9.8 จาก 10 ในระดับ CVSS ช่องโหว่ติดตามเป็น CVE-2023-50164 เกี่ยวข้องกับวิธีที่ Struts จัดการพารามิเตอร์ในการอัพโหลดไฟล์ และช่วยให้ผู้โจมตีสามารถควบคุมระบบที่ได้รับผลกระทบได้อย่างสมบูรณ์
ปัญหาด้านความปลอดภัยที่แพร่หลายอย่างกว้างขวางซึ่งส่งผลต่อ Java Apps
ข้อบกพร่องดังกล่าวทำให้เกิดความกังวลอย่างมาก เนื่องจากแพร่หลาย ข้อเท็จจริงที่ว่าสามารถเรียกใช้งานได้จากระยะไกล และเนื่องจากโค้ดการหาประโยชน์แบบพิสูจน์แนวคิดนั้นเปิดเผยต่อสาธารณะ นับตั้งแต่มีการเปิดเผยข้อบกพร่องเมื่อสัปดาห์ที่แล้ว ผู้จำหน่ายหลายราย — และหน่วยงานต่างๆ เช่น ShadowServer — ได้รายงานว่าพบสัญญาณของกิจกรรมการหาประโยชน์โดยมุ่งเป้าไปที่ข้อบกพร่อง
ASF เองได้อธิบาย Apache Struts ว่ามี “ฐานผู้ใช้ขนาดใหญ่” เนื่องจากข้อเท็จจริงที่ว่ามันมีมานานกว่าสองทศวรรษแล้ว ผู้เชี่ยวชาญด้านความปลอดภัยประเมินว่ามีแอปพลิเคชันหลายพันรายการทั่วโลก รวมถึงแอปพลิเคชันที่ใช้งานอยู่ในบริษัทและองค์กรที่ติดทำเนียบ Fortune 500 ในภาคภาครัฐและภาคโครงสร้างพื้นฐานที่สำคัญ ซึ่งใช้ Apache Struts
เทคโนโลยีของผู้จำหน่ายหลายรายรวม Apache Struts 2 ไว้ด้วย ตัวอย่างเช่น Cisco คือ ปัจจุบันกำลังสืบสวน ผลิตภัณฑ์ทั้งหมดที่อาจได้รับผลกระทบจากจุดบกพร่องและวางแผนที่จะเผยแพร่ข้อมูลเพิ่มเติมและการอัปเดตเมื่อจำเป็น ผลิตภัณฑ์ที่อยู่ภายใต้การตรวจสอบ ได้แก่ เทคโนโลยีการจัดการและการจัดเตรียมเครือข่ายของ Cisco ผลิตภัณฑ์การสื่อสารด้วยเสียงและแบบครบวงจร และแพลตฟอร์มการทำงานร่วมกันกับลูกค้า
ช่องโหว่นี้ส่งผลต่อ Struts เวอร์ชัน 2.5.0 ถึง 2.5.32 และ Struts เวอร์ชัน 6.0.0 ถึง 6.3.0 จุดบกพร่องนี้ยังปรากฏใน Struts เวอร์ชัน 2.0.0 ถึง Struts 2.3.37 ซึ่งขณะนี้หมดอายุการใช้งานแล้ว
ASF ผู้จำหน่ายระบบรักษาความปลอดภัยและหน่วยงานต่างๆ เช่น หน่วยงานรักษาความปลอดภัยทางไซเบอร์และความมั่นคงข้อมูลของสหรัฐอเมริกา (CISA) ได้แนะนำให้องค์กรที่ใช้ซอฟต์แวร์อัปเดตเป็น Struts เวอร์ชัน 2.5.33 หรือ Struts 6.3.0.2 หรือสูงกว่าทันที ไม่มีการบรรเทาผลกระทบสำหรับช่องโหว่ตาม ASF
ในช่วงไม่กี่ปีที่ผ่านมา นักวิจัยได้ค้นพบข้อบกพร่องมากมายใน Struts สิ่งที่สำคัญที่สุดก็คือ CVE-2017-5638 ในปี 2017 ซึ่งส่งผลกระทบต่อองค์กรหลายพันแห่งและทำให้เกิดการละเมิดที่ Equifax ซึ่งเปิดเผยข้อมูลที่ละเอียดอ่อนของผู้บริโภคชาวอเมริกันจำนวน 143 ล้านคน ข้อผิดพลาดดังกล่าวยังคงลอยอยู่ทั่ว — แคมเปญที่ใช้แคมเปญที่เพิ่งค้นพบ มัลแวร์บล็อกเชน NKAbuse ตัวอย่างเช่น กำลังใช้ประโยชน์จากมันเพื่อการเข้าถึงครั้งแรก
Bug อันตรายของ Apache Struts 2 แต่ใช้งานได้ยาก
นักวิจัยจาก Trend Micro ที่วิเคราะห์ช่องโหว่ Apache Struts ใหม่ในสัปดาห์นี้ อธิบายว่ามันเป็นอันตรายแต่ก็ยากกว่ามาก เพื่อใช้ประโยชน์ในวงกว้างกว่าจุดบกพร่องในปี 2017 ซึ่งเป็นมากกว่าปัญหาการสแกนและการใช้ประโยชน์เพียงเล็กน้อย
“ช่องโหว่ CVE-2023-50164 ยังคงถูกนำไปใช้อย่างกว้างขวางโดยผู้คุกคามที่หลากหลาย ซึ่งใช้ช่องโหว่นี้ในการทำกิจกรรมที่เป็นอันตราย ทำให้เกิดความเสี่ยงด้านความปลอดภัยที่สำคัญสำหรับองค์กรต่างๆ ทั่วโลก” นักวิจัยของ Trend Micro กล่าว
ข้อบกพร่องดังกล่าวทำให้ผู้ไม่หวังดีสามารถจัดการพารามิเตอร์การอัปโหลดไฟล์เพื่อเปิดใช้งานการข้ามผ่านเส้นทาง: “ซึ่งอาจส่งผลให้มีการอัปโหลดไฟล์ที่เป็นอันตราย เปิดใช้งานการเรียกใช้โค้ดจากระยะไกล” พวกเขาตั้งข้อสังเกต
เพื่อใช้ประโยชน์จากข้อบกพร่องนี้ ผู้โจมตีจะต้องสแกนหาและระบุเว็บไซต์หรือเว็บแอปพลิเคชันโดยใช้เวอร์ชัน Apache Struts ที่มีช่องโหว่ Akamai กล่าวใน รายงานสรุปการวิเคราะห์ภัยคุกคาม ในสัปดาห์นี้. จากนั้นพวกเขาจะต้องส่งคำขอที่สร้างขึ้นเป็นพิเศษเพื่ออัปโหลดไฟล์ไปยังไซต์หรือเว็บแอปที่มีช่องโหว่ คำขอจะมีคำสั่งที่ซ่อนอยู่ซึ่งจะทำให้ระบบที่มีช่องโหว่วางไฟล์ในตำแหน่งหรือไดเร็กทอรีที่การโจมตีสามารถเข้าถึงได้ และทริกเกอร์การดำเนินการของโค้ดที่เป็นอันตรายบนระบบที่ได้รับผลกระทบ
"เว็บแอปพลิเคชันต้องมีการดำเนินการบางอย่างเพื่อให้สามารถอัปโหลดไฟล์หลายส่วนที่เป็นอันตรายได้” Sam Tinklenberg นักวิจัยด้านความปลอดภัยอาวุโสของ Akamai กล่าว “ไม่ว่าจะเปิดใช้งานโดยค่าเริ่มต้นหรือไม่นั้นขึ้นอยู่กับการใช้งาน Struts 2 ขึ้นอยู่กับสิ่งที่เราเห็น มีความเป็นไปได้มากกว่าว่านี่ไม่ใช่สิ่งที่เปิดใช้งานโดยค่าเริ่มต้น”
ตัวแปรการหาประโยชน์จาก PoC สองรายการสำหรับ CVE-2023-50164
Akamai กล่าวว่าจนถึงตอนนี้ พบการโจมตีที่กำหนดเป้าหมายไปที่ CVE-2023-50164 โดยใช้ PoC ที่เผยแพร่ต่อสาธารณะ และกิจกรรมการโจมตีอีกชุดหนึ่งโดยใช้สิ่งที่ดูเหมือนจะแตกต่างจาก PoC ดั้งเดิม
“กลไกการหาประโยชน์จะเหมือนกันระหว่างการโจมตีทั้งสองชุด” Tinklenberg กล่าว “อย่างไรก็ตาม รายการที่แตกต่างกันคือจุดสิ้นสุดและพารามิเตอร์ที่ใช้ในการพยายามหาประโยชน์”
ข้อกำหนดสำหรับผู้โจมตีในการใช้ประโยชน์จากช่องโหว่นั้นอาจแตกต่างกันอย่างมากตามการใช้งาน Tinklenberg กล่าวเสริม ซึ่งรวมถึงความจำเป็นที่แอปที่มีช่องโหว่จะต้องเปิดใช้งานฟังก์ชันการอัปโหลดไฟล์ และเพื่อให้ผู้ใช้ที่ไม่ได้รับการรับรองความถูกต้องสามารถอัปโหลดไฟล์ได้ หากแอปที่มีช่องโหว่ไม่อนุญาตให้ผู้ใช้อัปโหลดโดยไม่ได้รับอนุญาต ผู้โจมตีจะต้องได้รับการตรวจสอบสิทธิ์และการอนุญาตผ่านวิธีอื่น ผู้โจมตีจะต้องระบุจุดสิ้นสุดโดยใช้ฟังก์ชันอัพโหลดไฟล์ที่มีช่องโหว่ เขากล่าว
แม้ว่าช่องโหว่นี้ใน Apache Struts อาจไม่สามารถหาประโยชน์ได้ในวงกว้างเมื่อเทียบกับข้อบกพร่องก่อนหน้านี้ แต่การมีอยู่ของช่องโหว่ดังกล่าวในกรอบการทำงานที่นำมาใช้กันอย่างแพร่หลายทำให้เกิดข้อกังวลด้านความปลอดภัยที่สำคัญอย่างแน่นอน Saeed Abbasi ผู้จัดการฝ่ายวิจัยช่องโหว่และภัยคุกคามที่ Qualys กล่าว
“ช่องโหว่นี้มีความโดดเด่นเนื่องจากความซับซ้อนและเงื่อนไขเฉพาะที่จำเป็นสำหรับการหาประโยชน์ ซึ่งทำให้การโจมตีในวงกว้างทำได้ยากแต่เป็นไปได้” เขากล่าว “เนื่องจากการบูรณาการอย่างกว้างขวางของ Apache Struts ในระบบที่สำคัญต่างๆ จึงไม่สามารถประเมินศักยภาพของการโจมตีแบบกำหนดเป้าหมายต่ำเกินไปได้”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- การล่วงละเมิด
- เข้า
- ตาม
- การปฏิบัติ
- อย่างกระตือรือร้น
- กิจกรรม
- อยากทำกิจกรรม
- นักแสดง
- จริง
- เพิ่มเติม
- ข้อมูลเพิ่มเติม
- เพิ่ม
- บุญธรรม
- ได้รับผล
- น่าสงสาร
- ทั้งหมด
- อนุญาต
- ช่วยให้
- ด้วย
- an
- การวิเคราะห์
- วิเคราะห์
- และ
- อื่น
- อาปาเช่
- app
- ปรากฏ
- การใช้งาน
- การใช้งาน
- สถาปัตยกรรม
- เป็น
- รอบ
- AS
- ASF
- At
- โจมตี
- การโจมตี
- ความพยายาม
- การยืนยันตัวตน
- การอนุญาต
- ใช้ได้
- ฐาน
- ตาม
- เป็นพื้น
- BE
- เพราะ
- รับ
- ซึ่งเป็นของ
- ระหว่าง
- blockchain
- ช่องโหว่
- Bug
- สร้าง
- การก่อสร้าง
- แต่
- by
- แคมเปญ
- CAN
- ไม่ได้
- ก่อให้เกิด
- บาง
- อย่างแน่นอน
- ซิสโก้
- รหัส
- การทำงานร่วมกัน
- คมนาคม
- บริษัท
- เมื่อเทียบกับ
- สมบูรณ์
- ความซับซ้อน
- กังวล
- ความกังวลเกี่ยวกับ
- เงื่อนไข
- มาก
- ผู้บริโภค
- บรรจุ
- อย่างต่อเนื่อง
- ควบคุม
- ได้
- ที่สร้างขึ้น
- วิกฤติ
- โครงสร้างพื้นฐานที่สำคัญ
- ลูกค้า
- cybersecurity
- Dangerous
- ข้อมูล
- วัน
- ธันวาคม
- ทศวรรษที่ผ่านมา
- ค่าเริ่มต้น
- ขึ้นอยู่กับ
- อธิบาย
- นักพัฒนา
- แตกต่าง
- ยาก
- การเปิดเผย
- do
- ทำ
- สอง
- อย่างง่ายดาย
- ทำให้สามารถ
- เปิดการใช้งาน
- การเปิดใช้งาน
- ปลายทาง
- หน่วยงาน
- Equifax
- ประมาณการ
- การปฏิบัติ
- ผู้เชี่ยวชาญ
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- การใช้ประโยชน์จาก
- ที่เปิดเผย
- กว้างขวาง
- ความจริง
- ไกล
- สองสาม
- เนื้อไม่มีมัน
- ไฟล์
- ชื่อจริง
- ข้อบกพร่อง
- ข้อบกพร่อง
- ที่ลอย
- สำหรับ
- โชคลาภ
- รากฐาน
- กรอบ
- ราคาเริ่มต้นที่
- ฟังก์ชัน
- ได้รับ
- ให้
- กำหนด
- จะช่วยให้
- รัฐบาล
- มากขึ้น
- จัดการ
- ยาก
- มี
- มี
- he
- ซ่อนเร้น
- จุดสูง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- อย่างไรก็ตาม
- HTML
- HTTPS
- ใหญ่
- แยกแยะ
- if
- ทันที
- การดำเนินงาน
- การดำเนินการ
- in
- ประกอบด้วย
- รวมทั้ง
- รวมเข้าด้วยกัน
- ข้อมูล
- ความปลอดภัยของข้อมูล
- โครงสร้างพื้นฐาน
- แรกเริ่ม
- ตัวอย่าง
- บูรณาการ
- ปัญหา
- IT
- รายการ
- ITS
- ตัวเอง
- ชวา
- jpg
- ที่รู้จักกัน
- ใหญ่
- ชื่อสกุล
- น่าจะ
- น้อย
- ที่ตั้ง
- การทำ
- มัลแวร์
- การจัดการ
- ผู้จัดการ
- หลาย
- สูงสุด
- วิธี
- กลไก
- ไมโคร
- อาจ
- ล้าน
- โมดูลาร์
- ข้อมูลเพิ่มเติม
- มากที่สุด
- หลาย
- ต้อง
- ใกล้
- จำเป็นต้อง
- จำเป็น
- เครือข่าย
- ใหม่
- NIST
- ไม่
- เด่น
- หมายเหตุ / รายละเอียดเพิ่มเติม
- ตอนนี้
- มากมาย
- of
- on
- เปิด
- โอเพนซอร์ส
- or
- องค์กร
- เป็นต้นฉบับ
- อื่นๆ
- ออก
- เกิน
- พารามิเตอร์
- พารามิเตอร์
- ในสิ่งที่สนใจ
- อดีต
- ปะ
- เส้นทาง
- ดำเนินการ
- สถานที่
- แผน
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- PoC
- เป็นไปได้
- ที่มีศักยภาพ
- ที่อาจเกิดขึ้น
- การมี
- นำเสนอ
- เป็นที่แพร่หลาย
- ก่อน
- ผลิตภัณฑ์
- สาธารณชน
- ยก
- พิสัย
- อันดับ
- อย่างง่ายดาย
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- แนะนำ
- ปล่อย
- การเผยแพร่
- รีโมท
- จากระยะไกล
- รายงาน
- ขอ
- จำเป็นต้องใช้
- ความต้องการ
- การวิจัย
- นักวิจัย
- นักวิจัย
- ผล
- ความเสี่ยง
- s
- กล่าวว่า
- แซม
- เดียวกัน
- พูดว่า
- ขนาด
- การสแกน
- การพิจารณา
- ภาค
- ความปลอดภัย
- เห็น
- เห็น
- ส่ง
- ระดับอาวุโส
- มีความละเอียดอ่อน
- ชุด
- ชุดอุปกรณ์
- สำคัญ
- อย่างมีความหมาย
- สัญญาณ
- ตั้งแต่
- เว็บไซต์
- So
- จนถึงตอนนี้
- ซอฟต์แวร์
- บางสิ่งบางอย่าง
- แหล่ง
- พิเศษ
- โดยเฉพาะ
- ส่าย
- ยืน
- ยังคง
- ประสบความสำเร็จ
- อย่างเช่น
- ระบบ
- ระบบ
- เป้าหมาย
- กำหนดเป้าหมาย
- เทคโนโลยี
- กว่า
- ที่
- พื้นที่
- พวกเขา
- แล้วก็
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- ในสัปดาห์นี้
- เหล่านั้น
- พัน
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ไปยัง
- เทรนด์
- เรียก
- สอง
- ไม่มีสิทธิ
- ภายใต้
- ปึกแผ่น
- บันทึก
- การปรับปรุง
- อัปโหลด
- us
- ใช้
- มือสอง
- ผู้ใช้งาน
- การใช้
- ตัวแปร
- ต่างๆ
- ผู้ขาย
- ผู้ขาย
- รุ่น
- รุ่น
- ผ่านทาง
- เสียงพูด
- ความอ่อนแอ
- อ่อนแอ
- คือ
- ทาง..
- we
- เว็บ
- โปรแกรมประยุกต์บนเว็บ
- เว็บแอปพลิเคชัน
- เว็บไซต์
- สัปดาห์
- ดี
- อะไร
- ความหมายของ
- เมื่อ
- ว่า
- ที่
- WHO
- กว้าง
- ช่วงกว้าง
- อย่างกว้างขวาง
- แพร่หลาย
- กับ
- ทั่วโลก
- จะ
- ปี
- ลมทะเล