ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

ແຈ້ງເຕືອນ ພົບ​ຊ່ອງ​ໂຫວ່​ Zero-day ໃນ​ Apache , ມີຄວາມສ່ຽງ​ຖືກ​ໂຈມ​ຕີ​ແບບ​ Remote Code Execution

ຂໍ້ມູນທົ່ວໄປ 

          ອາທິດ​ທີ່​ຜ່ານມາ​ Talos ທີມ​ນັກ​ວິ​ໄຈ​ດ້ານ​ Threat Intelligence ຂອງ​ Cisco ອອກ​ມາ​ເປີດ​ເຜີຍ​ເຖິງ​ຊ່ອງ​ໂຫວ່​ Zero-day ເທິງ​ Apache Struts2 ຊຶ່ງ​ຊ່ວຍ​ໃຫ້​ແຮັກ​ເກີ​ ​ສາມາດ​ໂຈມ​ຕີ​ແບບ​ Remote Code Execution (RCE) ຜ່ານ​ທາງ​ພາ​ຣາ​ມິ​ເຕີ​​ (Parameter) Content-Type ໄດ້​ ລ່າ​ສຸດ​ນັກ​ວິໄ​ຈ​ຈາກ​ HPE ຂະຫຍາຍ​ຜົນ​ຊ່ອງ​ໂຫວ່​ ເຫັນວ່າ ​ສາມາດ​ໂຈມ​ຕີ​ຜ່ານ​ພາ​ຣາ​ມິ​ເຕີ​​ອື່ນ​ໄດ້​ເຊັ່ນ​ກັນ.

ຜົນກະທົບ

          ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ມີລະ​ຫັດ​ CVE-2017-5638 ເປັນ​ຊ່ອງ​ໂຫວ່​ Jakarta Multipart Parser Library ໃນ​ Apache Struts2 ເວີ​​ຊັ່ນ​ 2.3.x (2.3.5 – 2.3.31) ແລະ​ 2.5.x (ກ່ອນ​ 2.5.10.1) ຊຶ່ງ​ຊ່ວຍ​ໃຫ້​ແຮັກ​ເກີ​​ສາມາດ​ສົ່ງ​ຄຳ​ສັ່ງ​ຫຼາຍ​ປະ​ເພດ​ໃຫ້​ເຂົ້າ​ມາ​ຣັນ​ (Run) ຜ່ານ​ທາງ​ພາ​ຣາ​ມິ​ເຕີ​​ Content-Type ໄດ້​ ຕັ້ງ​ແຕ່​ຄຳ​ສັ່ງ​ “whoami” ໄປ​ຈົນ​ເຖິງ​ຊຸດ​ຄຳ​ສັ່ງ​ສຳລັບ​ດາວ​ໂຫຼດ​ ELF Executable ມາ​ຣັນ (Run) ​ເທິງ​ Web Server.

News Images: zrday.jpg

ລ່າ​ສຸດ​ I-SECURE ຜູ້​ໃຫ້​ບໍລິການ​ Managed Security Services ຊື່​ດັງ​ ອອກ​ມາຂຽນບົດຄວາມການ​ອັບ​ເດດ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ວ່າ​ @Alvaro_munoz ນັກ​ວິ​ໄຈ​ຈາກ​ HPE ໄດ້​​ຄົ້ນ​ຄວ້າ​ຊ່ອງ​ໂຫວ່​ເພີ່ມເຕີມ​ ເຫັນວ່າ​ Apache Struts2 ບໍ່​ໄດ້​ມີ​ຊ່ອງ​ໂຫວ່​ທີ່​ພາ​ຣາ​ມິ​ເຕີ​​ Content-Type ພຽງ​ຢ່າງ​ດຽວ​ ແຕ່​ຍັງ​ພົບເຫັນ​ໃນ​ສ່ວນ​ຂອງ​ພາ​ຣາ​ມິ​ເຕີ​ Content-Disposition ຊຶ່ງ​ເປັນ​ສ່ວນ​ Upload Body Data ອີກ​ດ້ວຍ​ ໂດຍ​ເງື່ອນ​ໄຂ​ການ​ເກີດ​ຊ່ອງ​ໂຫວ່​ ຄື:

  • ​ມີ​ການ​ໃຊ້​ງານ​ JakartaStreamMultipartRequest Library ຊຶ່ງ​ບໍ່​ແມ່ນ​ Default Library ທີ່​ຈະ​ນຳ​ມາ​ໃຊ້​ງານ​ (<constant name=”struts.multipart.parser” value=”jakarta-stream” />)
  • ຂະໜາດ​ຂອງ​ Content-Length ຫຼາຍກວ່າ​ຄ່າ​ສູງ​ສຸດ​ທີ່​ Apache Struts2 ກຳນົດ​ໃນ​ການ​ອັບ​ໂຫຼດ​ (Default ຄື​ 2 GB)
  • ຊື່​ໄຟ​ລ໌​ມີ​ລັກສະນະ​ເປັນ​ OGNL (ພາສາ​ສຳລັບ​ການ​ດຶງ​ຄ່າ​ ຫຼື ​ການ​ກຳນົດ​ຂອງ​ Java Setting )

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ 

          ຖ້າຫາກ​ຄົບ​ທຸກ​ເງື່ອນ​ໄຂ​ຕາມ​ທີ່​ກຳນົດ​ກໍ​່ຈະ​ເຮັດໃຫ້​ແຮັກ​ເກີ​ສາມາດ​ໂຈມ​ຕີ​ແບບ​ Remote Code Execution ໄດ້​ທັນ​ທີ​ “ຕອນ​ນີ້​ຊ່ອງ​ໂຫວ່ເທິງ​ Apache Struts2 ມີ​ໂຄ້ດ​ (Code) POC ອອກ​ມາ​ໃຫ້​ທົດສອບ​ແລ້ວ​ ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້​ Jakarta Multipart Parser ອັບ​ເກຣດ​ (Upgrade) Apache Struts2 ໄປ​ເປັນ​ເວີ​ຊັ່ນ​ 2.3.32 ຫຼື 2.5.10.1 ໂດຍ​ດ່ວນ.

          ຢ່າງໃດ​ກໍ​ຕາມ​ ສໍາລັບ​ອົງ​ກອນ​ທີ່​ບໍ່​ສາມາດ​ອັບ​ເດດ​ ແພັດ​ (Patch) ​ໄດ້​ທັນ​ທີ​ ສາມາດ​ຕິດ​ຕໍ່​ທີມ​ງານ​ I-SECURE ຫຼື​ UIH ເພື່ອ​ເອີ້ນໃຊ້​ບໍລິການ​ Managed WAF ສຳລັບ​ເຮັດ​ Policy Tuning ແລະ​ Virtual Patching ເທິງ​ Imperva Web Application Firewall ເພື່ອ​ປິດຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ໄດ້​ທັນ​ທີ​.

ເອກະສານອ້າງອີງ:

  1. https://www.techtalkthai.com/apache-zero-day-leads-to-remote-code-execution/
  2. http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html
  3. https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#.WNDOFxKGNgf