WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗi RCE mới trong Apache Struts cho phép hacker chiếm quyền các máy chủ Web
[Update ngày 5/9] Oracle vừa phát đi thông báo cho khách hàng của mình về việc một số sản phẩm của hãng cũng bị ảnh hưởng bởi lỗ hổng Apache Struts CVE-2018-11776. Tuy nhiên, danh sách chính xác các sản phẩm có lỗi hổng không được tiết lộ.
--------------------
[Update ngày 31/8] Lỗ hổng Apache Struts đã bị khai thác trên thực tế. Hacker lợi dụng lỗ hổng CVE-2018-11776 để tấn công vào các hệ thống đang chạy Apache Struts 2. Đặc biệt, một số hacker còn tận dụng lỗ hổng này để cài đặt mã độc đào tiền ảo CNRig.
Một nhà nghiên cứu từ Semmle, Man Yue Mo, vừa tiết lộ lỗ hổng thực thi mã từ xa nghiêm trọng trong nền tảng ứng dụng web Apache Struts phổ biến, có thể cho phép hacker từ xa chạy mã độc trên các máy chủ bị ảnh hưởng.
Apache Struts là một nền tảng mã nguồn mở phát triển các ứng dụng web bằng ngôn ngữ lập trình Java và được các doanh nghiệp trên toàn cầu sử dụng rộng rãi, khoảng 65% danh sách 100 công ty lớn nhất tại Mỹ theo Fortune, như Vodafone, Lockheed Martin, Virgin Atlantic và IRS.
Lỗ hổng (CVE-2018-11776) nằm trong lõi của Apache Struts và bắt nguồn từ việc thiếu xác thực các dữ liệu đầu vào không tin cậy do người dùng cung cấp trong lõi của nền tảng Struts theo các cấu hình nhất định.
Mã khai thác Apache Struts, mới được tìm thấy, có thể được kích hoạt chỉ bằng cách truy cập một URL được tạo đặc biệt trên máy chủ web bị ảnh hưởng, cho phép kẻ tấn công thực thi mã độc và cuối cùng kiểm soát hoàn toàn máy chủ mục tiêu đang chạy ứng dụng có lỗ hổng.
Bạn có bị ảnh hưởng bởi lỗ hổng Struts2?
Tất cả các ứng dụng sử dụng các phiên bản được hỗ trợ của Apache Struts (Struts 2.3 tới Struts 2.3.34 và Struts 2.5 đến Struts 2.5.16) và thậm chí một số phiên bản Apache Struts không được hỗ trợ - có khả năng tồn tại lỗ hổng này, ngay cả khi không có plugin bổ sung nào được bật.
Việc triển khai Apache Struts của bạn dễ mắc lỗi RCE nếu nó đáp ứng xảy ra các điều kiện sau:
• Cờ alwaysSelectFullNamespace được cài đặt đúng trong cấu hình Struts.
• File cấu hình Struts chứa thẻ "action" hoặc "url" không chỉ định thuộc tính không gian tên tùy chọn hoặc chỉ định không gian tên ký tự đại diện.
Theo nhà nghiên cứu này, ngay cả với một ứng dụng hiện không có lỗ hổng, thì "một sự thay đổi vô ý đối với một file cấu hình Struts có thể làm cho ứng dụng có lỗi trong tương lai".
Lý do nên xem lỗ hổng là nghiêm trọng
Chưa đầy một năm trước, cơ quan xếp hạng tín dụng Equifax đã tiết lộ thông tin cá nhân của 147 triệu người dùng do không thể vá thành công một lỗ hổng Apache Struts tương tự đã được tiết lộ hồi đầu năm ngoái (CVE-2017-5638).
Vụ xâm nhập dữ liệu của Equifax gây tổn thất cho hãng hơn 600 triệu USD.
Bản vá được phát hành cho lỗi Struts Apache nghiêm trọng
Apache Struts đã vá lỗ hổng này bằng việc phát hành phiên bản Struts 2.3.35 và 2.5.17. Các tổ chức và nhà phát triển sử dụng Apache Struts được khuyến cáo nhanh chóng nâng cấp các thành phần Struts của họ càng sớm càng tốt.
Người dùng và quản trị viên cũng được khuyến cáo nên nâng cấp các thành phần Apache Struts lên các phiên bản mới nhất.
Nguồn: Security Week
--------------------
[Update ngày 31/8] Lỗ hổng Apache Struts đã bị khai thác trên thực tế. Hacker lợi dụng lỗ hổng CVE-2018-11776 để tấn công vào các hệ thống đang chạy Apache Struts 2. Đặc biệt, một số hacker còn tận dụng lỗ hổng này để cài đặt mã độc đào tiền ảo CNRig.
Nguồn: The Register
-------------------Một nhà nghiên cứu từ Semmle, Man Yue Mo, vừa tiết lộ lỗ hổng thực thi mã từ xa nghiêm trọng trong nền tảng ứng dụng web Apache Struts phổ biến, có thể cho phép hacker từ xa chạy mã độc trên các máy chủ bị ảnh hưởng.
Apache Struts là một nền tảng mã nguồn mở phát triển các ứng dụng web bằng ngôn ngữ lập trình Java và được các doanh nghiệp trên toàn cầu sử dụng rộng rãi, khoảng 65% danh sách 100 công ty lớn nhất tại Mỹ theo Fortune, như Vodafone, Lockheed Martin, Virgin Atlantic và IRS.
Lỗ hổng (CVE-2018-11776) nằm trong lõi của Apache Struts và bắt nguồn từ việc thiếu xác thực các dữ liệu đầu vào không tin cậy do người dùng cung cấp trong lõi của nền tảng Struts theo các cấu hình nhất định.
Mã khai thác Apache Struts, mới được tìm thấy, có thể được kích hoạt chỉ bằng cách truy cập một URL được tạo đặc biệt trên máy chủ web bị ảnh hưởng, cho phép kẻ tấn công thực thi mã độc và cuối cùng kiểm soát hoàn toàn máy chủ mục tiêu đang chạy ứng dụng có lỗ hổng.
Bạn có bị ảnh hưởng bởi lỗ hổng Struts2?
Tất cả các ứng dụng sử dụng các phiên bản được hỗ trợ của Apache Struts (Struts 2.3 tới Struts 2.3.34 và Struts 2.5 đến Struts 2.5.16) và thậm chí một số phiên bản Apache Struts không được hỗ trợ - có khả năng tồn tại lỗ hổng này, ngay cả khi không có plugin bổ sung nào được bật.
Việc triển khai Apache Struts của bạn dễ mắc lỗi RCE nếu nó đáp ứng xảy ra các điều kiện sau:
• Cờ alwaysSelectFullNamespace được cài đặt đúng trong cấu hình Struts.
• File cấu hình Struts chứa thẻ "action" hoặc "url" không chỉ định thuộc tính không gian tên tùy chọn hoặc chỉ định không gian tên ký tự đại diện.
Theo nhà nghiên cứu này, ngay cả với một ứng dụng hiện không có lỗ hổng, thì "một sự thay đổi vô ý đối với một file cấu hình Struts có thể làm cho ứng dụng có lỗi trong tương lai".
Lý do nên xem lỗ hổng là nghiêm trọng
Chưa đầy một năm trước, cơ quan xếp hạng tín dụng Equifax đã tiết lộ thông tin cá nhân của 147 triệu người dùng do không thể vá thành công một lỗ hổng Apache Struts tương tự đã được tiết lộ hồi đầu năm ngoái (CVE-2017-5638).
Vụ xâm nhập dữ liệu của Equifax gây tổn thất cho hãng hơn 600 triệu USD.
Bản vá được phát hành cho lỗi Struts Apache nghiêm trọng
Apache Struts đã vá lỗ hổng này bằng việc phát hành phiên bản Struts 2.3.35 và 2.5.17. Các tổ chức và nhà phát triển sử dụng Apache Struts được khuyến cáo nhanh chóng nâng cấp các thành phần Struts của họ càng sớm càng tốt.
Người dùng và quản trị viên cũng được khuyến cáo nên nâng cấp các thành phần Apache Struts lên các phiên bản mới nhất.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: