Mối lo ngại đang tăng cao về lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng được tiết lộ gần đây trong Apache Struts 2 mà những kẻ tấn công đã tích cực khai thác trong vài ngày qua.
Apache Struts là một framework mã nguồn mở được sử dụng rộng rãi để xây dựng các ứng dụng Java. Các nhà phát triển có thể sử dụng nó để xây dựng các ứng dụng Web mô-đun dựa trên kiến trúc Model-View-Controller (MVC). Quỹ phần mềm Apache (ASF) tiết lộ lỗi vào ngày 7 tháng 9.8 và cho điểm mức độ nghiêm trọng gần như tối đa là 10/XNUMX trên thang điểm CVSS. Lỗ hổng, được theo dõi như CVE-2023-50164 liên quan đến cách Struts xử lý các tham số trong quá trình tải tệp lên và cung cấp cho kẻ tấn công một cách để giành quyền kiểm soát hoàn toàn các hệ thống bị ảnh hưởng.
Một vấn đề bảo mật phổ biến rộng rãi ảnh hưởng đến các ứng dụng Java
Lỗ hổng này đã gây ra mối lo ngại đáng kể vì mức độ phổ biến của nó, thực tế là nó có thể thực thi được từ xa và vì mã khai thác bằng chứng khái niệm được cung cấp công khai cho nó. Kể từ khi lỗ hổng được tiết lộ vào tuần trước, nhiều nhà cung cấp – và các tổ chức như Máy chủ bóng tối — đã báo cáo thấy các dấu hiệu của hoạt động khai thác nhắm vào lỗ hổng.
Bản thân ASF đã mô tả Apache Struts là có “cơ sở người dùng khổng lồ” vì thực tế là nó đã tồn tại hơn hai thập kỷ. Các chuyên gia bảo mật ước tính có hàng nghìn ứng dụng trên toàn thế giới — bao gồm cả những ứng dụng được sử dụng tại nhiều công ty và tổ chức Fortune 500 trong chính phủ và các lĩnh vực cơ sở hạ tầng quan trọng — dựa trên Apache Struts.
Nhiều công nghệ của nhà cung cấp cũng kết hợp Apache Struts 2. Ví dụ như Cisco là hiện đang điều tra tất cả các sản phẩm có khả năng bị ảnh hưởng bởi lỗi này và có kế hoạch phát hành thông tin và cập nhật bổ sung khi cần. Các sản phẩm đang được giám sát chặt chẽ bao gồm công nghệ cung cấp và quản lý mạng của Cisco, các sản phẩm truyền thông hợp nhất và thoại cũng như nền tảng cộng tác khách hàng của Cisco.
Lỗ hổng này ảnh hưởng đến các phiên bản Struts 2.5.0 đến 2.5.32 và Struts phiên bản 6.0.0 đến 6.3.0. Lỗi này cũng xuất hiện trong các phiên bản Struts 2.0.0 đến Struts 2.3.37, hiện đã hết tuổi thọ.
ASF, các nhà cung cấp bảo mật và các thực thể như Cơ quan An ninh mạng và An ninh thông tin Hoa Kỳ (CISA) đã khuyến nghị các tổ chức sử dụng phần mềm nên cập nhật ngay lên Struts phiên bản 2.5.33 hoặc Struts 6.3.0.2 trở lên. Theo ASF, không có biện pháp giảm nhẹ nào cho lỗ hổng này.
Trong những năm gần đây, các nhà nghiên cứu đã phát hiện ra nhiều sai sót trong Struts. Dễ dàng quan trọng nhất trong số đó là CVE-2017-5638 vào năm 2017, đã ảnh hưởng đến hàng nghìn tổ chức và tạo điều kiện cho một vụ vi phạm tại Equifax làm lộ dữ liệu nhạy cảm của 143 triệu người tiêu dùng Hoa Kỳ. Lỗi đó thực sự vẫn còn tồn tại — các chiến dịch sử dụng tính năng vừa được phát hiện Phần mềm độc hại chuỗi khối NKAbuse, chẳng hạn, đang khai thác nó để truy cập lần đầu.
Lỗi Apache Struts 2 nguy hiểm nhưng khó khai thác
Các nhà nghiên cứu tại Trend Micro đã phân tích lỗ hổng Apache Struts mới trong tuần này mô tả nó là nguy hiểm nhưng khó hơn đáng kể để khai thác trên quy mô lớn hơn lỗi năm 2017, vốn chỉ là vấn đề quét và khai thác.
Các nhà nghiên cứu của Trend Micro cho biết: “Lỗ hổng CVE-2023-50164 tiếp tục bị khai thác rộng rãi bởi nhiều kẻ đe dọa, lợi dụng lỗ hổng này để thực hiện các hoạt động độc hại, khiến nó trở thành rủi ro bảo mật đáng kể đối với các tổ chức trên toàn thế giới”.
Họ lưu ý rằng về cơ bản, lỗ hổng này cho phép kẻ thù thao túng các tham số tải lên tệp để cho phép truyền tải đường dẫn: “Điều này có thể dẫn đến việc tải lên một tệp độc hại, cho phép thực thi mã từ xa”.
Để khai thác lỗ hổng, trước tiên kẻ tấn công cần quét và xác định các trang web hoặc ứng dụng Web sử dụng phiên bản Apache Struts dễ bị tấn công, Akamai cho biết trong một báo cáo. báo cáo tóm tắt phân tích về mối đe dọa tuần này. Sau đó, họ sẽ cần gửi một yêu cầu được tạo đặc biệt để tải tệp lên trang web hoặc ứng dụng Web dễ bị tấn công. Yêu cầu sẽ chứa các lệnh ẩn khiến hệ thống dễ bị tấn công đặt tệp vào một vị trí hoặc thư mục mà từ đó kẻ tấn công có thể truy cập vào nó và kích hoạt việc thực thi mã độc trên hệ thống bị ảnh hưởng.
"Ứng dụng Web phải triển khai một số hành động nhất định để cho phép tải lên tệp nhiều phần độc hại”, Sam Tinklenberg, nhà nghiên cứu bảo mật cấp cao tại Akamai cho biết. “Việc tính năng này có được bật theo mặc định hay không tùy thuộc vào việc triển khai Struts 2. Dựa trên những gì chúng tôi đã thấy, nhiều khả năng đây không phải là thứ được bật theo mặc định.”
Hai biến thể khai thác PoC cho CVE-2023-50164
Akamai cho biết cho đến nay họ đã chứng kiến các cuộc tấn công nhắm vào CVE-2023-50164 bằng cách sử dụng PoC được phát hành công khai và một loạt hoạt động tấn công khác sử dụng thứ dường như là một biến thể của PoC ban đầu.
Tinklenberg cho biết: “Cơ chế khai thác giống nhau giữa hai” nhóm tấn công. “Tuy nhiên, điểm khác biệt nằm ở điểm cuối và tham số được sử dụng trong nỗ lực khai thác.”
Tinklenberg cho biết thêm, các yêu cầu để kẻ tấn công khai thác thành công lỗ hổng có thể thay đổi đáng kể tùy theo quá trình triển khai. Chúng bao gồm nhu cầu một ứng dụng dễ bị tấn công phải bật chức năng tải tệp lên và cho phép ứng dụng này cho phép người dùng chưa được xác thực tải tệp lên. Nếu một ứng dụng dễ bị tấn công không cho phép người dùng tải lên trái phép, kẻ tấn công sẽ cần phải có được xác thực và ủy quyền thông qua các phương tiện khác. Ông nói: Kẻ tấn công cũng cần xác định điểm cuối bằng cách sử dụng chức năng tải lên tệp dễ bị tấn công.
Saeed Abbasi, người quản lý nghiên cứu lỗ hổng và mối đe dọa tại Qualys, cho biết mặc dù lỗ hổng này trong Apache Struts có thể không dễ dàng bị khai thác trên quy mô lớn so với các lỗ hổng trước đó, nhưng sự hiện diện của nó trong một khuôn khổ được áp dụng rộng rãi như vậy chắc chắn gây ra những lo ngại đáng kể về bảo mật.
Ông lưu ý: “Lỗ hổng đặc biệt này nổi bật do tính phức tạp và các điều kiện cụ thể cần thiết để khai thác, khiến các cuộc tấn công trên diện rộng trở nên khó khăn nhưng vẫn có thể xảy ra”. “Với sự tích hợp rộng rãi của Apache Struts trong các hệ thống quan trọng khác nhau, không thể đánh giá thấp khả năng xảy ra các cuộc tấn công có chủ đích.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- : có
- :là
- :không phải
- :Ở đâu
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- lạm dụng
- truy cập
- Theo
- hành động
- tích cực
- hoạt động
- hoạt động
- diễn viên
- thực sự
- thêm vào
- thông tin bổ sung
- Thêm
- con nuôi
- bị ảnh hưởng
- ảnh hưởng đến
- Tất cả
- cho phép
- cho phép
- Ngoài ra
- an
- phân tích
- phân tích
- và
- Một
- Apache
- ứng dụng
- xuất hiện
- Các Ứng Dụng
- các ứng dụng
- kiến trúc
- LÀ
- xung quanh
- AS
- ASF
- At
- tấn công
- Các cuộc tấn công
- nỗ lực
- Xác thực
- ủy quyền
- có sẵn
- cơ sở
- dựa
- Về cơ bản
- BE
- bởi vì
- được
- thuộc
- giữa
- blockchain
- vi phạm
- Bug
- xây dựng
- Xây dựng
- nhưng
- by
- Chiến dịch
- CAN
- không thể
- Nguyên nhân
- nhất định
- chắc chắn
- Cisco
- mã
- hợp tác
- Truyền thông
- Các công ty
- so
- hoàn thành
- phức tạp
- Liên quan
- Mối quan tâm
- điều kiện
- đáng kể
- Người tiêu dùng
- chứa
- liên tiếp
- điều khiển
- có thể
- chế tạo
- quan trọng
- Cơ sở hạ tầng quan trọng
- khách hàng
- An ninh mạng
- Nguy hiểm
- dữ liệu
- Ngày
- Tháng mười hai
- thập kỷ
- Mặc định
- phụ thuộc
- mô tả
- phát triển
- khác nhau
- khó khăn
- công bố thông tin
- do
- làm
- hai
- dễ dàng
- cho phép
- kích hoạt
- cho phép
- Điểm cuối
- thực thể
- Equifax
- ước tính
- thực hiện
- các chuyên gia
- Khai thác
- khai thác
- khai thác
- khai thác
- tiếp xúc
- mở rộng
- thực tế
- xa
- vài
- Tập tin
- Các tập tin
- Tên
- lỗ hổng
- sai sót
- nổi
- Trong
- Vận may
- Nền tảng
- Khung
- từ
- chức năng
- Thu được
- cho
- được
- cho
- Chính phủ
- lớn hơn
- Xử lý
- Cứng
- Có
- có
- he
- Thành viên ẩn danh
- Cao
- Độ đáng tin của
- Tuy nhiên
- HTML
- HTTPS
- lớn
- xác định
- if
- ngay
- thực hiện
- thực hiện
- in
- bao gồm
- Bao gồm
- kết hợp
- thông tin
- bảo mật thông tin
- Cơ sở hạ tầng
- ban đầu
- ví dụ
- hội nhập
- vấn đề
- IT
- mặt hàng
- ITS
- chính nó
- Java
- jpg
- nổi tiếng
- lớn
- Họ
- Có khả năng
- ít
- địa điểm thư viện nào
- Làm
- phần mềm độc hại
- quản lý
- giám đốc
- nhiều
- tối đa
- có nghĩa
- cơ chế
- vi
- Might
- triệu
- mô-đun
- chi tiết
- hầu hết
- nhiều
- phải
- Gần
- Cần
- cần thiết
- mạng
- Mới
- nắm tay
- Không
- lưu ý
- Chú ý
- tại
- nhiều
- of
- on
- mở
- mã nguồn mở
- or
- tổ chức
- nguyên
- Nền tảng khác
- ra
- kết thúc
- tham số
- thông số
- riêng
- qua
- Vá
- con đường
- Thực hiện
- Nơi
- kế hoạch
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- PoC
- có thể
- tiềm năng
- có khả năng
- sự hiện diện
- trình bày
- thịnh hành
- trước
- Sản phẩm
- công khai
- tăng giá
- phạm vi
- giá
- sẵn sàng
- gần đây
- gần đây
- đề nghị
- phát hành
- phát hành
- xa
- từ xa
- Báo cáo
- yêu cầu
- cần phải
- Yêu cầu
- nghiên cứu
- nhà nghiên cứu
- nhà nghiên cứu
- kết quả
- Nguy cơ
- s
- Nói
- Sam
- tương tự
- nói
- Quy mô
- quét
- giám sát
- Ngành
- an ninh
- nhìn thấy
- đã xem
- gửi
- cao cấp
- nhạy cảm
- định
- bộ
- có ý nghĩa
- đáng kể
- Dấu hiệu
- kể từ khi
- website
- So
- cho đến nay
- Phần mềm
- một cái gì đó
- nguồn
- đặc biệt
- riêng
- sửng sốt
- đứng
- Vẫn còn
- Thành công
- như vậy
- hệ thống
- hệ thống
- nhắm mục tiêu
- nhắm mục tiêu
- Công nghệ
- hơn
- việc này
- Sản phẩm
- Them
- sau đó
- Đó
- Kia là
- họ
- điều này
- tuần này
- những
- hàng ngàn
- mối đe dọa
- diễn viên đe dọa
- đến
- khuynh hướng
- kích hoạt
- hai
- không được phép
- Dưới
- thống nhât
- Cập nhật
- Cập nhật
- Đang tải lên
- us
- sử dụng
- đã sử dụng
- người sử dang
- sử dụng
- biến thể
- khác nhau
- nhà cung cấp
- nhà cung cấp
- phiên bản
- phiên bản
- thông qua
- Giọng nói
- dễ bị tổn thương
- Dễ bị tổn thương
- là
- Đường..
- we
- web
- Ứng dụng web
- Ứng dụng web
- trang web
- tuần
- TỐT
- Điều gì
- Là gì
- khi nào
- liệu
- cái nào
- CHÚNG TÔI LÀ
- rộng
- Phạm vi rộng
- rộng rãi
- phổ biến rộng rãi
- với
- khắp thế giới
- sẽ
- năm
- zephyrnet