Apache Struts

Tags:
Node Thumbnail

หลังจากช่องโหว่ Struts 2 เผยแพร่ออกมาพร้อมกับโค้ด PoC ทาง Volexity ก็รายงานว่าเริ่มเห็นการสแกนหาช่องโหว่ และยึดเครื่องเพื่อขุดเงินคริปโตกันแล้ว โดยตอนนี้พบต้นทางการสแกนมาจากรัสเซียและฝรั่งเศส

ตัวอย่างการสแกนเป็นการลองยิงโค้ดเข้าไปยัง /struts3-showcase/ เพื่อให้ดาวน์โหลดสคริปต์มาจาก GitHub อีกครั้ง จากนั้นสคริปต์ค่อยดาวน์โหลด miner มารัน

ข้อสังเกตอย่างหนึ่งคือ miner ที่แฮกเกอร์ใช้นั้นมีสามไฟล์ รองรับทั้ง x86, ARM, และ MIPS ทำให้สามารถขุดได้แทบทุกที่ ทั้งพีซี, เซิร์ฟเวอร์, คอมพิวเตอร์ IoT, หรือเราท์เตอร์

Tags:
Node Thumbnail

ช่องโหว่ CVE-2018-11776 เป็นช่องโหว่รันโค้ดจากระยะไกล ที่แฮกเกอร์สามารถสั่งรันโค้ดบน Apache Struts 2 รุ่น 2.3.34 หรือ 2.5.16 ลงไปทั้งหมด โดยช่องโหว่มีความร้ายแรงระดับวิกฤติ (คะแนน CVSSv3 ที่ 9.8) ตอนนี้ก็มีโค้ด PoC เปิดให้ดาวน์โหลดแล้ว

Allan Liska จากเว็บ Recorded Future ระบุว่าพบการพูดคุยในหมู่แฮกเกอร์จีนและรัสเซียตามฟอรั่มต่างๆ และโค้ดทดสอบเจาะช่องโหว่นี้ก็เปิดให้ดาวน์โหลดแล้วบน GitHub

Tags:
Node Thumbnail

ข้อมูลรั่วไหลจาก Equifax ส่งผลกระทบเป็นวงกว้างจนมีการคาดเดาว่าช่องโหว่ที่ใช้ในการแฮกครั้งนี้เป็นช่องโหว่ใด ตอนนี้ทาง Equifax ออกมารายงานแล้วว่าเป็นช่องโหว่ CVE-2017-5638 ที่รายงานมาตั้งแต่เดือนมีนาคมพร้อมกับคำเตือนว่ามีการโจมตีจริงแล้ว

ทาง Equifax ตรวจย้อนกลับพบว่าถูกโจมตีกลางเดือนพฤษภาคมแสดงว่าบริษัทมีเวลาอัพเดต Struts ถึงสองเดือนกว่าแต่ไม่ได้ทำจนกระทั่งถูกโจมตี

ที่มา - Equifax Security 2017, The Register

Tags:
Node Thumbnail

รายงานข้อมูลรั่วไหลจากบริษัท Equifax กลายเป็นประเด็นใหญ่ของวงการความปลอดภัยและความเป็นส่วนตัวของข้อมูลส่วนบุคคล ล่าสุดทาง Apache ออกมาตอบโต้ข่าวจากเว็บ Quartz ที่จับวันที่รายงานการรั่วไหล (8 กันยายน) ไปชนกับการแก้ช่องโหว่ของ Struts ล่าสุดเมื่อวันที่ 6 กันยายน โดยระบุว่าเป็นการใช้ช่องโหว่ก่อนมีการรายงานออกมา

Tags:
Topics: 
Node Thumbnail

ถ้าย้อนกลับไปเมื่อ 4-5 ปีก่อน Struts นับเป็นเว็บ MVC เฟรมเวิรกที่เป็นทางเลือกหลักของนักพัฒนา ในยุครุ่งเรืองสมัยนั้นเป็นเรื่องยากมากที่จะหาเฟรมเวิรกตัวอื่นมาเทียบเคียงต่อกรได้ แต่ในช่วง 2 ปีที่ผ่านมา Struts เข้าสู่ยุคเสื่อมความนิยมอย่างรุนแรงอันเนื่องจากปัญหาการออกแบบที่สะสมมานานตั้งแต่ยุคแรกเริ่ม เกิดการแข็งข้อในหมู่นักพัฒนาอย่างแพร่หลาย เฟรมเวิรกใหม่ๆ มากกว่า 20 ชื่อผุดขึ้นราวดอกเห็ด ต่างก็พยายามนำเสนอแนวคิดจุดเด่นของตัวเองเพื่อแย่งชิงตลาดและความนิยม อ่านต่อ...