สืบเนื่องจากข่าว พบช่องโหว่ CVE-2018-11776 ที่ส่งผลต่อโค้ดหลักโดยไม่ต้องใช้งานปลั๊กอิน และช่วยให้แฮกเกอร์สามารถสั่งรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่ ที่มีการใช้งาน Apache Struts 2

จากรายงานได้กล่าวว่าทาง Oracle ได้ออกมาแจ้งเตือนกลุ่มลูกค้าของทาง Oracle ว่าจากช่องโหว่ CVE-2018-11776 ส่งผลทำให้ผลิตภัณฑ์ของ Oracle จำนวนมากได้รับผลกระทบ โดยแฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่เพื่อการขุดบิทคอยน์ได้

รายชื่อผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่นี้จะถูกส่งให้ลูกค้าของ Oracle เท่านั้น ทั้งนี้ Oracle ได้เคยแจ้งรายการของผลิตภัณฑ์ที่มีการใช้งาน Apache Struts ไปแล้วเมื่อปีที่แล้ว (ดูได้จากลิ้งค์ด้านล่าง) ซึ่งผลิตภัณฑ์เหล่านั้นจัดอยู่ในกลุ่มของ MySQL Enterprise Monitor, Communications Policy Management, FLEXCUBE Private Banking, Retail XBRi, Siebel, WebLogic Server และผลิตภัณฑ์ที่ให้บริการทางการเงินและประกันภัยต่างๆ

ปัจจุบันทาง Oracle แจ้งว่ากำลังจะมีแพทช์ ออกมาแก้ไข Oracle Critical Patch Update (CPU) ภายในวันที่ 16 ตุลาคม 2561

รายการผลิตภัณฑ์ที่มีการใช้งาน Apache Struts --> http://www.

พบช่องโหว่ CVE-2018-11776 ที่ส่งผลต่อโค้ดหลักโดยไม่ต้องใช้งานปลั๊กอิน และช่วยให้สามารถสั่งรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์และเว็บไซต์ที่มีช่องโหว่ ที่มีการใช้งาน Apache Struts 2 ซึ่งถือว่าเป็น open-source ที่ได้รับความนิยมเป็นอย่างมาก

จากข่าวรายงานว่า ช่องโหว่ CVE-2018-11776 ถูกค้นพบโดยทีม Semmle Security Research Team ตั้งแต่เดือนเมษายนที่ผ่านมาและได้รายงานไปยัง Apache ซึ่งก็ได้มีการออก Patch ออกมาแล้ว ( 2.3.35 สำหรับผู้ใช้รุ่น 2.3 และ 2.5.17 สำหรับกลุ่มที่ 2.5 )

ปัจจัยที่ทำให้เกิดช่องโหว่

• ค่าสถานะ alwaysSelectFullNamespace ถูกตั้งค่าเป็น true โดยปกติจะถูกกำหนดค่านี้เป็น default
• ไฟล์ Struts Configuration ที่มีแท็ก ที่ไม่ได้ระบุ optional namespace attribute หรือมีการระบุเป็น wildcard namespace เช่น . '/*'

หาก Application ของผู้ใช้งานไม่ได้เป็นไปตามเงื่อนไขตามที่รายงานไว้ ก็จะไม่มีความเสี่ยงที่จะถูกโจมตีจากแฮกเกอร์ อย่างไรก็ตาม อาจจะมีการแจ้งเตือนถึงการโจมตีใหม่ๆเกิดขึ้นอยู่ วิธีที่ดีที่สุดควรอัพเดตเป็นเวอร์ชันล่าสุดอยู่เสมอ

ที่มา : securityaffairs