CISA ເຕືອນໄພຜູ້ໃຊ້ Apache Struts 2 ຄວນອັບເດດເເພັດແກ້ໄຂ (Patch) ໂດຍດ່ວນ ຫຼັງຈາກມີຄົນປ່ອຍ PoC (Proof of Concept) ຂອງຊ່ອງໂຫວ່ລົງ GitHub
ຊ່ອງໂຫວ່ທີ່ສຳຄັນ ແລະ ຄຳເເນະນຳໃຫ້ອັບເດດເເພັດແກ້ໄຂໂດຍດ່ວນ ຄື: CVE-2019-0230 ແລະ CVE-2019-0233 ມີຜົນກະທົບກັບ Apache Struts ເວີຊັ່ນ 2.0.0 ເຖິງ 2.5.20.
ຊ່ອງໂຫວ່ CVE-2019-0230 ເປັນຊ່ອງໂຫວ່ ທີ່ເກີດຈາກການປະມວນຜົນ tag ພາຍໃນ attribute ຂອງ Object-Graph Navigation Language (OGNL) ເມື່ອ Struts ພະຍາຍາມປະມວນຜົນ tag input ພາຍໃນ attributes ຊ່ອງໂຫວ່ຈະເຮັດໃຫ້ຜູ້ໂຈມຕີທີ່ສົ່ງ OGNL ທີ່ເປັນອັນຕະລາຍສາມາດເອີ້ນໃຊ້ໂຄດ (Code) ຈາກໄລຍະໄກ ຊ່ອງໂຫວ່ນີ້ ຖືກຄົ້ນພົບໂດຍ Matthias Kaiser ຈາກ Apple Information Security.
ຊ່ອງໂຫວ່ CVE-2019-0233 ເປັນຊ່ອງໂຫວ່ໃນການເເກ້ໄຂສິດໃນການເຂົ້າເຖິງໄຟລ໌ ໃນລະຫວ່າງການອັບໂຫຼດໄຟລ໌ ຊຶ່ງອາດຈະເຮັດໃຫ້ຜູ້ໂຈມຕີສາມາດແກ້ໄຂຄຳຂໍລະຫວ່າງການດຳເນີນການອັບໂຫຼດໄຟລ໌ ການດຳເນີນການໃນລັກສະນະນີ້ຈະສົ່ງຜົນໃຫ້ໄຟລ໌ທີ່ອັບໂຫຼດລົ້ມເຫຼວ ເມື່ອພະຍາຍາມເຮັດຫຼາຍໆຄັ້ງ ອາດຈະເຮັດໃຫ້ເກີດການປະຕິເສດເງື່ອນໄຂການໃຫ້ບໍລິການ ຫຼື Denial of service (DoS) ຊ່ອງໂຫວ່ນີ້ຖືກຄົ້ນພົບໂດຍ Takeshi Terada ຈາກ Mitsui Bussan Secure Directions, Inc.
ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ
CISA ໄດ້ອອກຄຳເເນະນຳໃຫ້ຜູ້ເບິ່ງເເຍງລະບົບ ແລະ ຜູ້ໃຊ້ Apache Struts 2 ຄວນອັບເດດເເພັດແກ້ໄຂໂດຍດ່ວນ ເປັນ Apache Struts ເວີຊັ່ນ 2.5.22 ເພື່ອເເກ້ໄຂຊ່ອງໂຫວ່ດັ່ງກ່າວ ແລະ ປ້ອງກັນຜູ້ປະສົງຮ້າຍໃຊ້ປະໂຫຍດຈາກ PoC ຂອງຊ່ອງໂຫວ່ທີ່ຖືກເປີດພາຍໃນ GitHub ເພື່ອໂຈມຕີລະບົບ.
ເອກະສານອ້າງອີງ:
- https://us-cert.cisa.gov/ncas/current-activity/2020/08/14/apache-releases-security-advisory-struts-2
- https://threatpost.com/poc-exploit-github-apache-struts/158393/
- https://www.tenable.com/blog/cve-2019-0230-apache-struts-potential-remote-code-execution-vulnerability
- https://www.facebook.com/isecure.mssp/posts/3574864465857612