หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกคำเเนะนำและเเจ้งเตือนให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้ทำการอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่หลังพบว่ามีผู้ปล่อย PoC ของช่องโหว่ลง GitHub
ช่องโหว่ที่สำคัญและได้คำเเนะนำให้รีบอัปเดตเเพตซ์คือ CVE-2019-0230 และ CVE-2019-0233 มีผลกระทบกับ Apache Struts เวอร์ชัน 2.0.0 ถึง 2.5.20
ช่องโหว่ CVE-2019-0230 เป็นช่องโหว่ที่เกิดจากการการประมวลผลแท็กภายในแอตทริบิวต์ของ Object-Graph Navigation Language (OGNL) เมื่อ Struts พยายามทำการประมวลผลแท็กอินพุตภายในแอตทริบิวต์ ช่องโหว่จะทำส่งผลให้ผู้โจมตีที่ส่ง OGNL ที่เป็นอันตรายสามารถเรียกใช้โค้ดจากระยะไกล ช่องโหว่นี้ถูกค้นพบโดย Matthias Kaiser จาก Apple Information Security
ช่องโหว่ CVE-2019-0233 เป็นช่องโหว่ในการเเก้ไขสิทธิ์ในการเข้าถึงไฟล์ในระหว่างการอัปโหลดไฟล์ ซึ่งอาจส่งผลให้ผู้โจมตีสามารถแก้ไขคำขอระหว่างการดำเนินการอัปโหลดไฟล์ การดำเนินการในลักษณะนี้จะส่งผลให้ไฟล์ที่ทำการอัปโหลดล้มเหลว เมื่อเกิดความพยายามทำหลายๆ ครั้งอาจส่งผลให้เกิดการปฏิเสธเงื่อนไขการให้บริการหรือ Denial of service (DoS) ช่องโหว่นี้ถูกค้นพบโดย Takeshi Terada จาก Mitsui Bussan Secure Directions, Inc
CISA ได้ออกคำเเนะนำให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้รีบทำการอัปเดตเเพตซ์ให้เป็น Apache Struts เวอร์ชั่น 2.5.22 เพื่อเเก้ไขช่องโหว่ดังกล่าวและป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จาก PoC ของช่องโหว่ที่ถูกเปิดภายใน GitHub ทำการโจมตีระบบ
ที่มา: