یک آسیب‌پذیری حیاتی در Apache Struts2 به مهاجمان اجازه می‌دهد تا کنترل سرورهای وب را در دست گیرند.

محققان امنیتی یک آسیب‌پذیری اجرای کد از راه دور حیاتی را در framework برنامه محبوب تحت وب Apache Struts کشف کردند که به یک مهاجم از راه دور اجازه می‌دهد تا یک کد مخرب را بر روی سرورهای آلوده اجرا کند[۱].

Apache Struts یک framework رایگان، منبع باز و Model-View-Controller یا MVC برای توسعه برنامه‌های کاربردی تحت وب در زبان برنامه‌نویسی جاوا است که از REST، AJAX و JSON پشتیبانی می‌کند.

این آسیب‌پذیری که CVE-2017-9805 نام‌گذاری شده است، یک اشتباه برنامه‌نویسی است که در روشی که Struts داده‌ها را از یک منبع ناشناس پردازش می‌کند، قرار دارد. به‌طور خاص، افزونه Struts REST قادر به پردازش payloadهای XML نمی‌باشد و این در حالی است که به‌درستی آن‌ها را از بین می‌برد.

تمام نسخه‌های Apache Struts از سال ۲۰۰۸ یعنی نسخه‌های Struts 2.1.2 ،Struts 2.3.33، Struts 2.5 و Struts 2.5.12 به این آسیب‌پذیری حساس هستند و تمامی برنامه‌های تحت وب که از framework دارای افزونه REST استفاده می‌کنند در معرض حمله مهاجمان از راه دور قرار دارند.

به گفته یکی از محققان امنیتی LGTM، که این نقص را کشف کرد[۲]، چارچوب Struts توسط تعداد بسیار زیادی از سازمان‌ها از جمله Lockheed Martin ،Vodafone ،Virgin Atlantic و IRS استفاده می‌شود.

Man Yue Mo که محقق امنیتی LGTM است دراین‌باره می‌گوید: “مهم‌ترین نکته در مورد این آسیب‌پذیری این است که بهره‌برداری از آن برای مهاجم بسیار راحت است: تمام چیزی که شما نیاز دارید یک مرورگر وب است.”

بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به یک مهاجم اجازه دهد تا کنترل کامل سرور آلوده‌شده را در دست گیرد و درنهایت منجر به این خواهد شد که مهاجم به دیگر سیستم‌های قرار داشته در شبکه مشابه نیز نفوذ کند.

Mo گفته است که این نقص یک نابسامانی ناامن در جاوا است که مشابه آسیب‌پذیری در مجموعه Apache Commons است که توسط Chris Frohoff و Gabriel Lawrence در سال ۲۰۱۵ کشف شده است که همچنین اجازه اجرای کد دلخواه را صادر می‌کند[۳].

همچنین بسیاری از برنامه‌های جاوا در چندین سال اخیر تحت تأثیر آسیب‌پذیری‌های مشابه قرار گرفته‌اند.

ازآنجاکه این آسیب‌پذیری در نسخه ۲٫۵٫۱۳ وصله شده است، به مدیران سیستم‌ها اکیداً توصیه می‌شود که نسخه Apache Struts خود را هرچه سریع‌تر به‌روزرسانی کنند[۴].

اطلاعات فنی بیشتر در ارتباط با این آسیب‌پذیری و اثبات این ادعا هنوز توسط این محقق منتشر نشده است و این امر زمان کافی را در اختیار مدیران قرار می‌دهد تا سیستم‌های خود را به‌روزرسانی کنند.

منابع

[۱] https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement

[۲] https://lgtm.com/blog/apache_struts_CVE-2017-9805

[۳] https://frohoff.github.io/appseccali-marshalling-pickles

[۴] https://struts.apache.org/docs/s2-052.html

[۵] http://thehackernews.com/2017/09/apache-struts-vulnerability.html