Apache Struts là bộ khung mã nguồn mở miễn phí sử dụng kiến trúc Model View Controller (MVC) để phát triển các ứng dụng web bằng ngôn ngữ lập trình Java, hỗ trợ REST, AJAX và JSON.
Lỗ hổng Apache Struts2 được định danh CVE-2017-9805, là một lỗi lập trình nằm trong quá trình xử lý dữ liệu của Struts đối với các dữ liệu chưa qua kiểm duyệt.
Các phiên bản của Apache Struts từ năm 2008, cụ thể là phiên bản từ 2.5 - 2.5.12 đều bị ảnh hưởng. Điều này dẫn đến việc tất cả các ứng dụng web sử dụng plugin REST của bộ khung này đều có thể bị khai thác lỗ hổng.
Theo chuyên gia an ninh mạng của LGTM: rất nhiều tổ chức lớn khác nhau trên thế giới như Lockheed Martin, Vodafone, Virgin Atlantic và IRS đang sử dụng bộ khung Struts. Bên cạnh đó, chuyên gia LGTM khẳng định rằng, tin tặc chỉ cần sử dụng trình duyệt web là có thể tiến hành khai thác lỗ hổng này bằng cách gửi một đoạn mã XML có chứa đoạn mã độc hại dưới một định dạng cụ thể đến máy chủ nạn nhân.
Nếu khai thác thành công, tin tặc có thể hoàn toàn kiểm soát máy chủ. Từ đó, thâm nhập vào các hệ thống khác trong cùng mạng.
Rất nhiều ứng dụng Java cũng bị ảnh hưởng bởi lỗ hổng tương tự trong những năm gần đây.
Lỗ hổng CVE-1017-9805 đã được vá trong Struts phiên bản 2.5.13, các quản trị viên cần nâng cấp cài đặt bộ khung Apache Struts sớm nhất.
Thông tin chi tiết kỹ thuật cũng như minh chứng cách khai thác lỗ hổng đã được các nhà nghiên cứu công bố .
Bình Minh
(Theo The Hacker News)
10:00 | 11/09/2018
10:00 | 14/08/2024
Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
10:00 | 18/07/2024
Theo báo cáo được các chuyên gia của hãng nghiên cứu bảo mật TRM Labs (Mỹ) cho biết, số tiền mã hóa bị đánh cắp trong các vụ tấn công mạng trên toàn cầu đã tăng hơn gấp đôi trong nửa đầu năm 2024 so với cùng kỳ năm ngoái.
14:00 | 10/07/2024
Juniper Networks đã phát hành bản cập nhật bảo mật mới để giải quyết một lỗ hổng bảo mật nghiêm trọng có thể dẫn đến việc bỏ qua xác thực trong một số bộ định tuyến của hãng.
14:00 | 28/05/2024
Vừa qua, CISA và FBI cho biết các tin tặc Black Basta đã xâm phạm hơn 500 tổ chức trong khoảng thời gian từ tháng 4/2022 đến tháng 5/2024.
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
21:00 | 29/08/2024