ແຈ້ງເຕືອນ ພົບຊ່ອງໂຫວ່ Zero-day ໃນ Apache , ມີຄວາມສ່ຽງຖືກໂຈມຕີແບບ Remote Code Execution
ຂໍ້ມູນທົ່ວໄປ
ອາທິດທີ່ຜ່ານມາ Talos ທີມນັກວິໄຈດ້ານ Threat Intelligence ຂອງ Cisco ອອກມາເປີດເຜີຍເຖິງຊ່ອງໂຫວ່ Zero-day ເທິງ Apache Struts2 ຊຶ່ງຊ່ວຍໃຫ້ແຮັກເກີ ສາມາດໂຈມຕີແບບ Remote Code Execution (RCE) ຜ່ານທາງພາຣາມິເຕີ (Parameter) Content-Type ໄດ້ ລ່າສຸດນັກວິໄຈຈາກ HPE ຂະຫຍາຍຜົນຊ່ອງໂຫວ່ ເຫັນວ່າ ສາມາດໂຈມຕີຜ່ານພາຣາມິເຕີອື່ນໄດ້ເຊັ່ນກັນ.
ຜົນກະທົບ
ຊ່ອງໂຫວ່ດັ່ງກ່າວມີລະຫັດ CVE-2017-5638 ເປັນຊ່ອງໂຫວ່ Jakarta Multipart Parser Library ໃນ Apache Struts2 ເວີຊັ່ນ 2.3.x (2.3.5 – 2.3.31) ແລະ 2.5.x (ກ່ອນ 2.5.10.1) ຊຶ່ງຊ່ວຍໃຫ້ແຮັກເກີສາມາດສົ່ງຄຳສັ່ງຫຼາຍປະເພດໃຫ້ເຂົ້າມາຣັນ (Run) ຜ່ານທາງພາຣາມິເຕີ Content-Type ໄດ້ ຕັ້ງແຕ່ຄຳສັ່ງ “whoami” ໄປຈົນເຖິງຊຸດຄຳສັ່ງສຳລັບດາວໂຫຼດ ELF Executable ມາຣັນ (Run) ເທິງ Web Server.
ລ່າສຸດ I-SECURE ຜູ້ໃຫ້ບໍລິການ Managed Security Services ຊື່ດັງ ອອກມາຂຽນບົດຄວາມການອັບເດດຊ່ອງໂຫວ່ດັ່ງກ່າວວ່າ @Alvaro_munoz ນັກວິໄຈຈາກ HPE ໄດ້ຄົ້ນຄວ້າຊ່ອງໂຫວ່ເພີ່ມເຕີມ ເຫັນວ່າ Apache Struts2 ບໍ່ໄດ້ມີຊ່ອງໂຫວ່ທີ່ພາຣາມິເຕີ Content-Type ພຽງຢ່າງດຽວ ແຕ່ຍັງພົບເຫັນໃນສ່ວນຂອງພາຣາມິເຕີ Content-Disposition ຊຶ່ງເປັນສ່ວນ Upload Body Data ອີກດ້ວຍ ໂດຍເງື່ອນໄຂການເກີດຊ່ອງໂຫວ່ ຄື:
- ມີການໃຊ້ງານ JakartaStreamMultipartRequest Library ຊຶ່ງບໍ່ແມ່ນ Default Library ທີ່ຈະນຳມາໃຊ້ງານ ()
- ຂະໜາດຂອງ Content-Length ຫຼາຍກວ່າຄ່າສູງສຸດທີ່ Apache Struts2 ກຳນົດໃນການອັບໂຫຼດ (Default ຄື 2 GB )
- ຊື່ໄຟລ໌ມີລັກສະນະເປັນ OGNL (ພາສາສຳລັບການດຶງຄ່າ ຫຼື ການກຳນົດຂອງ Java Setting )
ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ
ຖ້າຫາກຄົບທຸກເງື່ອນໄຂຕາມທີ່ກຳນົດກໍ່ຈະເຮັດໃຫ້ແຮັກເກີສາມາດໂຈມຕີແບບ Remote Code Execution ໄດ້ທັນທີ “ຕອນນີ້ຊ່ອງໂຫວ່ເທິງApache Struts2 ມີໂຄ້ດ (Code) POC ອອກມາໃຫ້ທົດສອບແລ້ວ ແນະນຳໃຫ້ຜູ້ໃຊ້ Jakarta Multipart Parser ອັບເກຣດ(Upgrade) Apache Struts2 ໄປເປັນເວີຊັ່ນ 2.3.32 ຫຼື 2.5.10.1 ໂດຍດ່ວນ.”
ຢ່າງໃດກໍຕາມ ສໍາລັບອົງກອນທີ່ບໍ່ສາມາດອັບເດດ ແພັດ (Patch) ໄດ້ທັນທີ ສາມາດຕິດຕໍ່ທີມງານ I-SECURE ຫຼື UIH ເພື່ອເອີ້ນໃຊ້ບໍລິການ Managed WAF ສຳລັບເຮັດ Policy Tuning ແລະ Virtual Patching ເທິງ Imperva Web Application Firewall ເພື່ອປິດຊ່ອງໂຫວ່ດັ່ງກ່າວໄດ້ທັນທີ.
ເອກະສານອ້າງອີງ:
