Tóm tắt về mối đe dọa: Thông tin về lỗ hổng bảo mật quan trọng của Apache Struts

Vào ngày 22 tháng 8 năm 2018, Quỹ Apache đã phát hành bản cập nhật bảo mật quan trọng cho CVE-2018-1176 , lỗ hổng thực thi mã từ xa ảnh hưởng đến các phiên bản Apache Struts 2.3 đến 2.3.34 và 2.5 đến 2.5.16. Quỹ Apache đã kêu gọi mọi người áp dụng các bản cập nhật bảo mật càng sớm càng tốt.

Tổng quan tình hình

mối đe dọa an ninh mạng

Blog này cung cấp thông tin để giúp các tổ chức đánh giá rủi ro của họ về lỗ hổng bảo mật và thông báo cho khách hàng của Palo Alto Networks về các biện pháp bảo vệ có thể giúp giảm thiểu rủi ro cho đến khi họ có thể áp dụng các bản cập nhật bảo mật. Khách hàng Palo Alto Networks đã triển khai các chữ ký lỗ hổng mới nhất được phát hành vào ngày 24 tháng 8 năm 2018, được bảo vệ.

Thông tin dễ bị tổn thương

bảo toàn cơ sở dữ liệu an ninh mạng

Theo cả Apache Foundation và nhà nghiên cứu bảo mật Man Yue Mo , lỗ hổng này có thể cho phép thực thi mã từ xa trên một máy chủ chạy phiên bản Apache Struts dễ bị tấn công. Phương pháp tấn công sẽ thông qua một URL được tạo đặc biệt được gửi đến hệ thống dễ bị tấn công. Trong hầu hết các trường hợp, điều này có nghĩa là không cần xác thực để khai thác lỗ hổng.

Một cuộc tấn công thành công sẽ chạy mã trong bối cảnh bảo mật mà Struts đang sử dụng. Trong một số trường hợp, điều này có hiệu quả có thể dẫn đến một sự thỏa hiệp tổng thể của hệ thống.

Tuy nhiên, điều quan trọng cần lưu ý là lỗ hổng không thể khai thác được trong các cấu hình mặc định. Hai điều kiện sau đây phải được đáp ứng cho một hệ thống dễ bị tấn công:

Các alwaysSelectFullNamespace cờ được thiết lập để “true” trong cấu hình Struts. (Lưu ý: Nếu ứng dụng của bạn sử dụng plugin Struts Convention phổ biến, plugin này được đặt thành “true” theo plugin.
Ứng dụng Struts sử dụng “các hành động” được cấu hình mà không chỉ định một không gian tên, hoặc với một không gian tên ký tự đại diện. Điều kiện này áp dụng cho hành động và không gian tên được chỉ định trong tệp cấu hình Struts. LƯU Ý: ứng dụng của bạn sử dụng plugin Struts Convention phổ biến điều kiện này cũng áp dụng cho các hành động và không gian tên được chỉ định trong mã Java.
Nếu ứng dụng Struts của bạn không đáp ứng cả hai điều kiện này, ứng dụng của bạn có thể vẫn dễ bị tổn thương nhưng không (hiện tại) có thể khai thác thông qua CVE-2018-11776.

Đặc biệt, nếu ứng dụng của bạn sử dụng plugin Struts Convention phổ biến, nó dường như có khả năng làm tăng nguy cơ khai thác của bạn trong các triển khai Struts khác không sử dụng plugin đó.

Thông tin về môi trường nguy hiểm

Lỗ hổng này đã được tiết lộ vào ngày 22 tháng 8 cùng với các cập nhật bảo mật nhằm giải quyết vấn đề này. Có thông tin chi tiết về lỗ hổng và cách khai thác lỗ hổng hiện có. Ngoài ra còn có sẵn mã chứng minh (PoC). Như đã nói ở trên, PoC chỉ hoạt động dựa trên các hệ thống dễ bị tổn thương và đáp ứng cả hai điều kiện về khả năng khai thác.

Một số đã lưu ý rằng một lỗ hổng Struts quan trọng trước đó đã bị tấn công tích cực vào năm ngoái chỉ ba ngày sau khi phát hành bản cập nhật bảo mật và thông tin dễ bị tổn thương.

Hiện tại không có các cuộc tấn công đang hoạt động nào và yêu cầu hiện tại là hai điều kiện không mặc định cần phải được đáp ứng cho lỗ hổng có thể khai thác được tạo ra cho một môi trường mối đe dọa khác.

Tuy nhiên với PoC hoạt động, chúng tôi có thể mong đợi ở mức thăm dò tối thiểu, nếu không khai thác lỗ hổng này trong thời gian tới.

Các tổ chức nên tập trung đánh giá rủi ro của họ để có thể tấn công cho đến khi họ có thể vá trên bốn điều:

  • Họ có sử dụng plugin Công ước Struts không?
  • Họ có đáp ứng cả hai điều kiện cần thiết để khai thác?
  • Bất kỳ vũ khí hoặc chỉ định các cuộc tấn công bằng cách sử dụng PoC hiện tại
  • Sự phát triển của PoC mới hoặc các cuộc tấn công khiến cho việc đưa ra hai điều kiện cần thiết cho khả năng khai thác?

Hướng dẫn và bảo vệ cho khách hàng Palo Alto Networks

Tất cả các tổ chức đang chạy các phiên bản Apache Struts dễ bị tấn công nên triển khai các bản cập nhật bảo mật càng sớm càng tốt.

Các tổ chức có thể và nên ưu tiên lên lịch và triển khai các bản cập nhật bảo mật dựa trên chính sách bảo mật và đánh giá rủi ro của họ và trên các thông tin hiện có.

Khách hàng của Palo Alto Networks đã triển khai các chữ ký lỗ hổng trong phiên bản phát hành nội dung phiên bản 8057 được phát hành vào ngày 24 tháng 8 năm 2018, bao gồm ID 33948 Tên: Apache Struts 2 Remote Code Execution Vulnerability, được bảo vệ chống lại các lỗ hổng hiện tại.

Khách hàng của chúng tôi vẫn nên triển khai bản cập nhật bảo mật như được đề xuất ở trên, nhưng có thể và nên triển khai chữ ký lỗ hổng mới nhất ngay lập tức để bảo vệ bổ sung. Với sự bảo vệ bổ sung này, khách hàng của chúng tôi có thể và nên bao gồm điều đó như là một phần trong quyết định của họ về bảo mật và triển khai các bản cập nhật bảo mật và đánh giá rủi ro của họ về môi trường dễ bị tổn thương và nguy hiểm.

Như mọi khi, chúng tôi đang theo dõi tình hình chặt chẽ và sẽ cung cấp thêm chi tiết khi chúng có sẵn.

Leave a Reply

Your email address will not be published. Required fields are marked *