Lỗ hổng trong Apache Struts2 cho phép tin tặc chiếm quyền kiểm soát máy chủ

Các nhà nghiên cứu vừa mới phát hiện ra lỗ hổng trong Apache cho phép thực thi mã từ xa nguy hiểm trong framework lập trình ứng dụng Web Apache Struts.

Apache Struts là một framework lập trình mã nguồn mở, miễn phí, dùng để phát triển ứng dụng web theo mô hình Model-View-Controller (MVC) bằng ngôn ngữ Java, hỗ trợ chuẩn REST, AJAX và JSON.

Lỗ hổng trong Apache: CVE-2017-9805

Lỗ hổng (CVE-2017-9805) là một lỗi lập trình nằm trong quá trình xử lý dữ liệu của Struts đối với dữ liệu chưa được kiểm duyệt. Cụ thể, Struts REST plugin xử lý sai dữ liệu định dạng XML trong quá trình phân tách các thuộc tính.

Lỗ hổng trong Apache này ảnh hưởng tất cả các phiên bản Apache Struts từ năm 2008 (từ Struts 2.5 đến 2.5.12), dẫn tới toàn bộ ứng dụng web sử dụng plugin REST có nguy cơ bị tin tặc tấn công. Theo một trong những chuyên gia tại công ty LGTM, Struts là một framework được sử dụng rộng rãi trong nhiều tổ chức lớn như Lockheed Martin, Vodafone, Virgin Atlantic, và IRS.

Tin tặc chỉ việc gửi lên một đoạn mã XML trong một định dạng nhất định nhằm kích hoạt lỗ hổng trên máy chủ. Sau khi khai thác thành công, tin tặc có thể chiếm quyền kiểm soát toàn bộ máy chủ. Rất nhiều ứng dụng Java bị ảnh hưởng bởi lỗ hổng tương tự vào những năm gần đây. Lỗ hổng được vá trong phiên bản Structs phiên bản 2.5.13, quản trị viên được khuyến cáo nâng cấp liên phiên bản mới sớm nhất có thể.

Chi tiết về lỗ hổng và bản chứng minh vẫn được được công bố.

THN