Apache Struts là bộ khung mã nguồn mở miễn phí sử dụng kiến trúc Model View Controller (MVC) để phát triển các ứng dụng web bằng ngôn ngữ lập trình Java, hỗ trợ REST, AJAX và JSON.
Lỗ hổng Apache Struts2 được định danh CVE-2017-9805, là một lỗi lập trình nằm trong quá trình xử lý dữ liệu của Struts đối với các dữ liệu chưa qua kiểm duyệt.
Các phiên bản của Apache Struts từ năm 2008, cụ thể là phiên bản từ 2.5 - 2.5.12 đều bị ảnh hưởng. Điều này dẫn đến việc tất cả các ứng dụng web sử dụng plugin REST của bộ khung này đều có thể bị khai thác lỗ hổng.
Theo chuyên gia an ninh mạng của LGTM: rất nhiều tổ chức lớn khác nhau trên thế giới như Lockheed Martin, Vodafone, Virgin Atlantic và IRS đang sử dụng bộ khung Struts. Bên cạnh đó, chuyên gia LGTM khẳng định rằng, tin tặc chỉ cần sử dụng trình duyệt web là có thể tiến hành khai thác lỗ hổng này bằng cách gửi một đoạn mã XML có chứa đoạn mã độc hại dưới một định dạng cụ thể đến máy chủ nạn nhân.
Nếu khai thác thành công, tin tặc có thể hoàn toàn kiểm soát máy chủ. Từ đó, thâm nhập vào các hệ thống khác trong cùng mạng.
Rất nhiều ứng dụng Java cũng bị ảnh hưởng bởi lỗ hổng tương tự trong những năm gần đây.
Lỗ hổng CVE-1017-9805 đã được vá trong Struts phiên bản 2.5.13, các quản trị viên cần nâng cấp cài đặt bộ khung Apache Struts sớm nhất.
Thông tin chi tiết kỹ thuật cũng như minh chứng cách khai thác lỗ hổng đã được các nhà nghiên cứu công bố tại đây.
Bình Minh
(Theo The Hacker News)
10:00 | 11/09/2018
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
Năm 2024, các tác nhân đe dọa được dự báo sẽ tận dụng sức mạnh của trí tuệ nhân tạo (AI) để thực hiện các hoạt động lừa đảo một cách thông minh hơn. Bằng việc sử dụng công nghệ AI tạo sinh, chúng có thể tạo ra các chiến thuật tấn công mới, khó phát hiện và kiểm soát.
16:00 | 18/05/2024