พบช่องโหว่ RCE บน Apache Struts2
นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงช่องโหว่ Remote Code Execution (RCE) ความรุนแรงระดับ Critical บน Web Application Framework ยอดนิยมอย่าง Apache Struts ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ดอันตรายเข้ามารันบน Web Server ได้ทันที
Credit: Ditty about summer/ShutterStock
Apache Struts เป็น Model-View-Controller (MVC) Framework แบบ Open-source สำหรับใช้พัฒนาเว็บแอพพลิเคชันภาษา Java โดยรองรับ REST, AJAX และ JSON ซึ่งเป็นหนึ่งใน Framework ฟรีที่นักพัฒนาเว็บหลายคนเลือกใช้ ไม่ว่าจะเป็น Lockheed Martin, Vodafone, Virgin Atlantic หรือ IRS
ช่องโหว่ RCE ที่ค้นพบนี้มีหมายเลข CVE-2017-9805 มีสาเหตุมาจากการที่ Struts REST Plugin ผิดพลาดในการจัดการ XML Payload อย่างเหมาะสมขณะทำการ Deserialize หรืออธิบายให้เข้าใจง่ายๆ คือเป็นบั๊กของโปรแกรมขณะประมวลผลข้อมูลที่ได้รับมาจาก Untrusted Source ที่สำคัญคือ ช่องโหว่นี้สามารถโจมตีได้ง่ายมาก ผ่านทางการใช้เว็บเบราเซอร์และโค้ด XML ที่ถูกออกแบบมาเป็นพิเศษ ผลลัพธ์คือ แฮ็คเกอร์สามารถเข้าควบคุม Web Server เครื่องนั้นๆ ได้ทันที
Apache Struts เวอร์ชัน 2.5 ตั้งแต่ปี 2008 จนถึงเวอร์ชัน 2.5.12 ล่าสุดต่างได้รับผลกระทบจากช่องโหว่นี้ทั้งสิ้น อย่างไรก็ตาม Apache ได้ออกแพทช์สำหรับอุดช่องโหว่ใน Struts เวอร์ชัน 2.5.13 เป็นที่เรียบร้อย แนะนำให้ผู้ดูแลระบบอัปเดตโดยเร็ว
ที่มา: http://thehackernews.com/2017/09/apache-struts-vulnerability.html
