Nmap ออก script สำหรับการทดสอบช่องโหว่ CVE-2017-5638 ของ Apache Struts 2
หลังจากก่อนหน้านี้เราได้พูดถึงเรื่องการพบการโจมตี RCE ไปยัง Apache Struts 2 ในไทย เพื่อทำการยึดเครื่องมาใช้เป็น Botnet หรือรัน ransomware เพื่อเรียกค่าไถ่ตามสมัยนิยม
แน่นอนว่าการโจมตียังมีอย่างต่อเนื่องและเหมือนจะขยายวงกว้างไปเรื่อยๆ ล่าสุดทาง Nmap เครื่องมือยอดนิยมที่ใช้สำหรับการทำ information gathering เครื่องเป้าหมายได้ออก script สำหรับการทดสอบช่องโหว่ CVE-2017-5638 ใน Apache Struts 2 เพื่อให้ผู้ดูแลระบบสามารถตรวจสอบช่องโหว่ได้ด้วยตัวเอง โดยวิธีการใช้งานคือ
1. Download script
1 2 |
cd /usr/share/nmap/scripts/ wget https://svn.nmap.org/nmap/scripts/http-vuln-cve2017-5638.nse |
2. ทดสอบใช้งาน
1 2 3 |
$ nmap -p <port> --script http-vuln-cve2017-5638 target เช่น $ nmap -p 80 --script http-vuln-cve2017-5638 www.techsuii.com |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
Example Usage nmap -p <port> --script http-vuln-cve2017-5638 <target> Script Output PORT STATE SERVICE 80/tcp open http | http-vuln-cve2017-5638: | VULNERABLE | Apache Struts Remote Code Execution Vulnerability | State: VULNERABLE | IDs: CVE:CVE-2017-5638 | | Disclosure date: 2017-03-07 | References: | https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638 | https://cwiki.apache.org/confluence/display/WW/S2-045 |_ http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html |
Source:: Nmap Project