Pemerhati Security Ungkap Celah Server Dibangun Apache Struts

Tekno News- Para pemerhati security baru menemukan kerentanan keamanan kritis di perangkat lunak open source server, memungkinkan hacker untuk dengan mudah mengambil kendali dari sebuah server yang terkena--menempatkan data sensitif perusahaan beresiko.

Kerentanan memungkinkan seorang penyerang dari jarak jauh menjalankan kode pada server yang menjalankan aplikasi yang menggunakan REST plugin, dibangun dengan Apache Struts, menurut peneliti keamanan yang menemukan kerentanan.

Struts digunakan di Fortune 100 untuk menyediakan aplikasi web di Java, dan kekuatan depan dan belakang aplikasi. Man Yue Mo, peneliti keamanan di LGTM , yang memimpin upaya yang menyebabkan penemuan bug's, mengatakan bahwa Struts digunakan dalam banyak aplikasi web yang dapat diakses publik, seperti booking Airline dan sistem perbankan internet. Menurut Mo, semua hacker kebutuhan-nya adalah" web browser."
"Untung saya belum cukup stres bagaimana ini adalah sangat mudah untuk mengeksploitasi," kata Bas van Schaik, manajer produk di Semmle, sebuah perusahaan perangkat lunak analisis yang digunakan untuk menemukan kerentanan.

"Jika Anda tahu apa permintaan untuk mengirim, Anda dapat mulai proses apapun pada server web yang menjalankan sebuah aplikasi yang rentan," katanya.

Kerentanan disebabkan oleh bagaimana Struts deserializes data yang tidak terpercaya, kata Mo . Penyerang dapat memanfaatkan kelemahan untuk menjalankan perintah pada server Struts yang terkena, bahkan di belakang firewall perusahaan. "Jika server berisi data pelanggan atau pengguna tidak sulit sama sekali untuk mengumpulkan data dan transfer ke tempat lain," kata van Schaik. Penyerang juga dapat menggunakan server sebagai jalur masuk ke area lain dari jaringan, secara efektif melewati firewall perusahaan dan mendapatkan akses ke area terlindung lain dari perusahaan, katanya.

"Seorang penyerang dapat menggunakan kerentanan untuk menemukan kredensial, terhubung ke database server dan melakukan ekstrak semua data," katanya. Lebih buruk lagi, ia menambahkan, penyerang dapat menghapus data.

Mengeksploitasi telah dikembangkan oleh para peneliti keamanan tapi belum dirilis untuk memberikan perusahaan waktu untuk menambal sistem mereka. Ia mengatakan bahwa ia tidak menyadari seseorang dapat mengeksploitasi kerentanan tetapi memperingatkan bahwa ia mengharapkan untuk perubahan "dalam waktu beberapa jam" bug's rincian yang dipublikasikan.
"Perusahaan mungkin memang berebut untuk memperbaiki infrastruktur mereka," kata van Schaik.
Memperbaiki kode sumber dirilis beberapa minggu sebelumnya, dan Apache merilis sebuah Full Patch kemarin untuk memperbaiki kerentanan.

Share this post