Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ແຈ້ງເຕືອນ ພົບ​ຊ່ອງ​ໂຫວ່ Zero-day ໃນ​ Apache , ມີຄວາມສ່ຽງ​ຖືກ​ໂຈມ​ຕີ​ແບບ​ Remote Code Execution

ແຈ້ງເຕືອນ ພົບ​ຊ່ອງ​ໂຫວ່ Zero-day ໃນ​ Apache , ມີຄວາມສ່ຽງ​ຖືກ​ໂຈມ​ຕີ​ແບບ​ Remote Code Execution

ຂໍ້ມູນທົ່ວໄປ 

ອາທິດ​ທີ່​ຜ່ານມາ​ Talos ທີມ​ນັກ​ວິ​ໄຈ​ດ້ານ​ Threat Intelligence ຂອງ​ Cisco ອອກ​ມາ​ເປີດ​ເຜີຍ​ເຖິງ​ຊ່ອງ​ໂຫວ່​ Zero-day ເທິງ​ Apache Struts2 ຊຶ່ງ​ຊ່ວຍ​ໃຫ້​ແຮັກ​ເກີ​ ​ສາມາດ​ໂຈມ​ຕີ​ແບບ​ Remote Code Execution (RCE) ຜ່ານ​ທາງ​ພາ​ຣາ​ມິ​ເຕີ​​ (Parameter) Content-Type ໄດ້​ ລ່າ​ສຸດ​ນັກ​ວິໄ​ຈ​ຈາກ​ HPE ຂະຫຍາຍ​ຜົນ​ຊ່ອງ​ໂຫວ່​ ເຫັນວ່າ ​ສາມາດ​ໂຈມ​ຕີ​ຜ່ານ​ພາ​ຣາ​ມິ​ເຕີ​​ອື່ນ​ໄດ້​ເຊັ່ນ​ກັນ.

ຜົນກະທົບ

ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ມີລະ​ຫັດ​ CVE-2017-5638 ເປັນ​ຊ່ອງ​ໂຫວ່​ Jakarta Multipart Parser Library ໃນ​ Apache Struts2 ເວີ​​ຊັ່ນ​ 2.3.x (2.3.5 – 2.3.31) ແລະ​ 2.5.x (ກ່ອນ​ 2.5.10.1) ຊຶ່ງ​ຊ່ວຍ​ໃຫ້​ແຮັກ​ເກີ​​ສາມາດ​ສົ່ງ​ຄຳ​ສັ່ງ​ຫຼາຍ​ປະ​ເພດ​ໃຫ້​ເຂົ້າ​ມາ​ຣັນ​ (Run) ຜ່ານ​ທາງ​ພາ​ຣາ​ມິ​ເຕີ​​ Content-Type ໄດ້​ ຕັ້ງ​ແຕ່​ຄຳ​ສັ່ງ​ “whoami” ໄປ​ຈົນ​ເຖິງ​ຊຸດ​ຄຳ​ສັ່ງ​ສຳລັບ​ດາວ​ໂຫຼດ​ ELF Executable ມາ​ຣັນ (Run) ​ເທິງ​ Web Server.

News Images: zrday.jpg

ລ່າ​ສຸດ​ I-SECURE ຜູ້​ໃຫ້​ບໍລິການ​ Managed Security Services ຊື່​ດັງ​ ອອກ​ມາຂຽນບົດຄວາມການ​ອັບ​ເດດ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ວ່າ​ @Alvaro_munoz ນັກ​ວິ​ໄຈ​ຈາກ​ HPE ໄດ້​​ຄົ້ນ​ຄວ້າ​ຊ່ອງ​ໂຫວ່​ເພີ່ມເຕີມ​ ເຫັນວ່າ​ Apache Struts2 ບໍ່​ໄດ້​ມີ​ຊ່ອງ​ໂຫວ່​ທີ່​ພາ​ຣາ​ມິ​ເຕີ​​ Content-Type ພຽງ​ຢ່າງ​ດຽວ​ ແຕ່​ຍັງ​ພົບເຫັນ​ໃນ​ສ່ວນ​ຂອງ​ພາ​ຣາ​ມິ​ເຕີ​ Content-Disposition ຊຶ່ງ​ເປັນ​ສ່ວນ​ Upload Body Data ອີກ​ດ້ວຍ​ ໂດຍ​ເງື່ອນ​ໄຂ​ການ​ເກີດ​ຊ່ອງ​ໂຫວ່​ ຄື:

  • ​ມີ​ການ​ໃຊ້​ງານ​ JakartaStreamMultipartRequest Library ຊຶ່ງ​ບໍ່​ແມ່ນ​ Default Library ທີ່​ຈະ​ນຳ​ມາ​ໃຊ້​ງານ​ ()
  • ຂະໜາດ​ຂອງ​ Content-Length ຫຼາຍກວ່າ​ຄ່າ​ສູງ​ສຸດ​ທີ່​ Apache Struts2 ກຳນົດ​ໃນ​ການ​ອັບ​ໂຫຼດ​ (Default ຄື​ 2 GB )
  • ຊື່​ໄຟ​ລ໌​ມີ​ລັກສະນະ​ເປັນ​ OGNL (ພາສາ​ສຳລັບ​ການ​ດຶງ​ຄ່າ​ ຫຼື ​ການ​ກຳນົດ​ຂອງ​ Java Setting )

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ 

ຖ້າຫາກ​ຄົບ​ທຸກ​ເງື່ອນ​ໄຂ​ຕາມ​ທີ່​ກຳນົດ​ກໍ​່ຈະ​ເຮັດໃຫ້​ແຮັກ​ເກີ​ສາມາດ​ໂຈມ​ຕີ​ແບບ​ Remote Code Execution ໄດ້​ທັນ​ທີ​ “ຕອນ​ນີ້​ຊ່ອງ​ໂຫວ່ເທິງ​Apache Struts2 ມີ​ໂຄ້ດ​ (Code) POC ອອກ​ມາ​ໃຫ້​ທົດສອບ​ແລ້ວ​ ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້​ Jakarta Multipart Parser ອັບ​ເກຣດ​(Upgrade) Apache Struts2 ໄປ​ເປັນ​ເວີ​ຊັ່ນ​ 2.3.32 ຫຼື 2.5.10.1 ໂດຍ​ດ່ວນ.

ຢ່າງໃດ​ກໍ​ຕາມ​ ສໍາລັບ​ອົງ​ກອນ​ທີ່​ບໍ່​ສາມາດ​ອັບ​ເດດ​ ແພັດ​ (Patch) ​ໄດ້​ທັນ​ທີ​ ສາມາດ​ຕິດ​ຕໍ່​ທີມ​ງານ​ I-SECURE ຫຼື​ UIH ເພື່ອ​ເອີ້ນໃຊ້​ບໍລິການ​ Managed WAF ສຳລັບ​ເຮັດ​ Policy Tuning ແລະ​ Virtual Patching ເທິງ​ Imperva Web Application Firewall ເພື່ອ​ປິດຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ໄດ້​ທັນ​ທີ​.

ເອກະສານອ້າງອີງ:

  1. https://www.techtalkthai.com/apache-zero-day-leads-to-remote-code-execution/
  2. http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html
  3. https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#.WNDOFxKGNgf
Porher 23 March 2017 958 Print