Apache Struts 2 เป็น Web Application Framework สำหรับการทำ Java EE web application ซึ่งถือว่าได้รับความนิยมในระดับหนึ่ง ซึ่งมีข่าวร้ายคือพบช่องโหว่รุนแรงอย่าง Remote Code Execution (RCE:การสั่งงานระยะไกล) แถมเริ่มมีการถูกนำมาใช้แล้วอีกด้วย (รวมถึงมายังประเทศไทยด้วย)

ช่องโหว่ RCE ที่พบโดย Nike Zheng เป็นช่องโหว่ที่กระทบกับ Apache Struts 2.3.5 – 2.3.31 และ Struts 2.5 – Struts 2.5.10 ซึ่งช่องโหว่ดังกล่าวเกิดจากส่วนการจัดการ file upload ของ Apache Struts คือ Jakarta Multipart ทำการแปล (parsing) ค่าของ Content-Type ผิดพลาด ซึ่งส่งผลให้กลายเป็น RCE ได้ วิธีการแก้ไขคือการ update Apache Struts เป็น Struts version 2.3.32 หรือ Struts 2.5.10.1 หรือทำการเลือกใช้งาน parser ตัวอื่นนอกเหนือจากการใช้งาน Jakarta Multipart

จากการให้บริการ WAF (Web Application Firewall) ของบริษัท i-secure เราพบว่า เริ่มมีการโจมตีไปยังช่องโหว่ดังกล่าวแล้ว โดยต้นทางหลักๆจะมาจากจีนครับ และแน่นอนว่าทาง i-secure ได้รับทราบและพร้อมรับมือ thread ดังกล่าวภายในเวลา 24 ชม. หลังจากมีการ publish ช่องโหว่นี้ออกมาครับ

ระบบที่ได้รับผลกระทบ: Apache Struts 2.3.5 – 2.3.31 และ Struts 2.5 – Struts 2.5.10

ผลกระทบ: Remote Code Execution

วิธีแก้ไข: Update ให้เป็น Apache Struts version 2.3.32 หรือ Struts 2.5.10.1 หรือทำการเปลี่ยนไปใช้ Parser ตัวอื่นนอกเหนือจาก Jakarta Multipart Parser

Source:: Apache.org