با ما به‌روز باشید!
info@nsec.ir
(+98)-313-3915336

آسیب‌پذیری بحرانی در Apache struts 2

خلاصه: محققان امنیتی یک آسیب‌پذیری بحرانی در فریم‌ورک محبوب Apache Struts کشف کردند که به مهاجمان این امکان را می‌دهد که از راه دور در سرور آسیب‌دیده کد‌های مخرب اجرا کنند.

محققان امنیتی یک آسیب‌پذیری بحرانی در فریم‌ورک محبوب Apache Struts کشف کردند که به مهاجمان این امکان را می‌دهد که از راه دور در سرور آسیب‌دیده کد‌های مخرب اجرا کنند.

Apache Struts یک فریم‌ورک MVC متن‌باز است که برای توسعه‌ی برنامه‌های کاربردی وب به زبان جاوا به کار می‌رود و از AJAX، REST و JSON نیز پشتیبانی می‌کند.

این آَسیب‌پذیری (CVE-2017-9805) یک اشتباه برنامه نویسی است که در روش پردازش داده‌ها از منبع غیرقابل اعتماد قرار دارد.

همه‌ی نسخه‌های Apache Struts (از Struts 2.5 تا Struts 2.5.12) تحت تاثیر این آسیب‌پذیری قرار دارند و بنابراین همه‌ی برنامه‌های کاربردی وب که از افزونه‌ی REST این فریم‌ورک استفاده کرده‌اند، برای مهاجمان راه دور قابل دسترسی هستند.

به گفته‌ی یکی از محققان LGTM، که این آسیب‌پذیری را کشف کرده‌اند، " این فریم‌ورک توسط تعداد زیادی از سازمان‌های مختلف از جمله Lockheed Martin، Vodafone،Virgin Atlantic،IRS  استفاده می‌شود. علاوه بر این، استفاده از این آسیب‌پذیری برای مهاجم بسیار آسان است و تمام چیزی که برای این‌کار نیاز دارید یک مرورگر وب است."

تنها کاری که مهاجم باید انجام دهد این است که یک کد مخرب XML را برای استفاده از آسیب‌پذیری به سرور هدف عرضه کند. بهره‌برداری موفق از این آسیب‌پذیری به مهاجم امکان کنترل کامل سرور آسیب‌دیده و در نهایت امکان نفوذ به سیستم‌های دیگر در همان شبکه را می‌دهد.

محققان می‌گویند که این آسیب‌پذیری یک نابه‌سامانی ناامن در جاوا است که شبیه به یک آسیب‌پذیری  در مجموعه‌ی Apache Commons است که در سال 2015 توسط Chris Frohoff و Gabriel Lawrence کشف شد؛ آن آسیب‌پذیری نیز امکان اجرای کد مخرب را می‌داد.

تعداد زیادی از برنامه‌های جاوا در سال‌های اخیر تحت تاثیر آسیب‌پذیری مشابه قرار گرفته‌اند؛ از آن‌جا که این آسیب‌پذیری در Struct 2.5.3 وصله‌شده‌است، به مدیران توصیه می‌شود که Apache خود را در اسرع وقت به‌روز‌رسانی کنند.

هنوز جزئیات فنی این آسیب‌پذیری توسط محققان منتشر نشده است و این به مدیران زمان کافی برای به‌روزرسانی سیستم‌شان را می‌دهد.