Lỗ hổng Apache Struts RCE cho phép tin tặc chiếm các máy chủ Web

31/08/2018

Nhà nghiên cứu bảo mật Semmle Man Yue Mo đã tiết lộ một lỗ hổng thực thi mã từ xa quan trọng trong khung ứng dụng web Apache Struts nổi tiếng có thể cho phép kẻ tấn công từ xa chạy mã độc trên các máy chủ bị ảnh hưởng.


Apache Struts là một framework mã nguồn mở để phát triển các ứng dụng web bằng ngôn ngữ lập trình Java và được sử dụng rộng rãi bởi các doanh nghiệp trên toàn cầu, bao gồm 65% trong số 100 công ty trong danh sách Fortune, như Vodafone, Lockheed Martin, Virgin Atlantic và IRS.
Lỗ hổng (CVE-2018-11776) nằm trong lõi của Apache Struts và bắt nguồn do không đủ xác thực các đầu vào không tin cậy do người dùng cung cấp trong lõi của Struts framework theo các cấu hình nhất định.
Việc khai thác Apache Struts mới được tìm thấy có thể được kích hoạt chỉ bằng cách truy cập một URL được tạo đặc biệt trên máy chủ web bị ảnh hưởng, cho phép kẻ tấn công thực thi mã độc và cuối cùng kiểm soát hoàn toàn máy chủ được nhắm mục tiêu đang chạy ứng dụng dễ bị tấn công.
Lỗ hổng Vulnerability – Bạn có bị ảnh hưởng?
Tất cả các ứng dụng sử dụng các phiên bản được hỗ trợ của Apache Struts (Struts 2.3 đến Struts 2.3.34 và Struts 2.5 đến Struts 2.5.16) và thậm chí một số phiên bản Apache Struts không được hỗ trợ – có khả năng dễ bị tấn công cho lỗ hổng này, ngay cả khi không có plugins bổ sung nào được bật.
“Lỗ hổng này ảnh hưởng đến các endpoint thường được sử dụng của Struts, có khả năng bị phơi nhiễm, mở ra một vector tấn công cho các tin tặc độc hại”, Yue Mo nói.
Việc triển khai Apache Struts của bạn là dễ bị tấn công do lỗi RCE được báo cáo nếu nó đáp ứng các điều kiện sau:
alwaysSelectFullNamespace flag được đặt thành true trong cấu hình Struts.
Tệp cấu hình Struts chứa thẻ “action” hoặc “url” không chỉ định thuộc tính namespace tùy chọn hoặc chỉ định wildcard namespace.
Theo nhà nghiên cứu, ngay cả khi một ứng dụng hiện không dễ bị tấn công, “một sự thay đổi vô ý đối với một tệp cấu hình Struts có thể làm cho ứng dụng dễ bị tấn công trong tương lai.”
Đây là lý do vì sao bạn nên nghiêm túc xem xét lỗ hổng trên Apache Struts
Chưa đầy một năm trước, cơ quan xếp hạng tín dụng Equifax đã tiết lộ chi tiết cá nhân của 147 triệu người tiêu dùng do sự thất bại của việc vá lỗ hổng Apache Struts tương tự đã được tiết lộ vào đầu năm đó (CVE-2017-5638). Vụ việc gây tổn thất cho công ty hơn 600 triệu đô la.
Xem thêm LAB: Khai thác lỗ hổng đã được sử dụng để tấn công Equifax – Apache Struts
Pavel Strustustinov, đồng sáng lập & phó chủ tịch của QL Engineering tại Semmle cho biết: “Struts được sử dụng cho các trang web có thể truy cập công khai, các hệ thống dễ bị tổn thương dễ dàng xác định và lỗ hổng rất dễ khai thác”.
Pavel Strustustinov, đồng sáng lập & phó chủ tịch của QL Engineering tại Semmle cho biết: “Struts được sử dụng cho các trang web có thể truy cập công khai (customer-facing websites), các hệ thống dễ bị tổn thương dễ dàng xác định và lỗ hổng rất dễ khai thác”.
“Một hacker có thể tìm thấy con đường của họ trong vòng vài phút, và exfiltrate dữ liệu hoặc giai đoạn tấn công hơn nữa từ hệ thống bị xâm nhập.”
Bản vá đã được phát hành cho lỗi Struts Apache nghiêm trọng này
Lo-hong-Vulnerability-Ban-co-bi-anh-huong.png
Apache Struts đã sửa lỗ hổng bảo mật bằng việc phát hành phiên bản Struts 2.3.35 và 2.5.17. Các tổ chức và nhà phát triển sử dụng Apache Struts nên nâng cấp các thành phần Struts của họ càng sớm càng tốt.

Chúng tôi đã thấy những tiết lộ trước đó về các lỗ hổng quan trọng tương tự trong Apache Struts đã dẫn đến việc khai thác PoC được xuất bản trong vòng một ngày và khai thác lỗ hổng trong tự nhiên, đưa cơ sở hạ tầng quan trọng cũng như dữ liệu của khách hàng vào rủi ro.
Do đó, người dùng và quản trị viên được khuyên nên nâng cấp các thành phần Apache Struts của họ lên các phiên bản mới nhất, ngay cả khi họ tin rằng cấu hình của họ không dễ bị tấn công ngay bây giờ.
Đây không phải là lần đầu tiên Nhóm nghiên cứu bảo mật Semmle đã báo cáo một lỗ hổng RCE quan trọng trong Apache Struts. Chưa đầy một năm trước, nhóm nghiên cứu đã tiết lộ một lỗ hổng thực thi mã từ xa tương tự (CVE-2017-9805) trong Apache Struts.
( Theo Phòng Nghiệp Vụ )