최근 신규 Apache Struts2 관련 취약점이 확인되어 관련 정보 및 한국인터넷 진흥원 인터넷 침해 대응센터에서 수집된 해킹 공격 내용 공유
[개요]
2017년 3월 6일, Apache Struts2 관련 원격코드실행 취약점(CVE-2017-5638) 및 PoC가 공개됨에 따라 동 취약점을 악용한 스캔 시도가 발생 중
[취약점 내용]
Jakarta 플러그인을 이용하여 파일 업로드를 처리할 때 원격에서 임의의 코드를 실행할 수 있는 취약점으로, HTTP Request 헤더의 Content-Type값을 변조하여 원격 코드실행
[탐지패턴]
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"F-INV-APP-170307-ApacheStruts_remote_codeexecution_attempt"; flow:to_server,established; content:"Content-Type: %"; content:"com.opensymphony.xwork2.ActionContext.container"; nocase; content:"POST"; offset:0; depth:4; metadata:impact_flag red, service http; reference:cve,2017-5638; reference:url, seebug.org/vuldb/ssvid-92746; classtype:attempted-admin; rev:1;)
[영향받는 버전]
Struts 2.3.5 - Struts 2.3.31
Struts 2.5 - Struts 2.5.10
[대응방안]
- Apache Struts를 2.3.32 또는 2.5.10.1로 업그레이드
- Snort 룰 적용이 가능한 경우, 관련 룰을 통한 탐지/차단
- Content-Type 헤더에 대한 ognl 표현식 등 불필요한 내용 필터링
- commons-fileupload-x.x.x.jar 파일 삭제 (삭제시 업로드 기능 사용 불가)
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터
'DEV' 카테고리의 다른 글
| Linux - bitnami Redmine Install - 레드마인 설치 (0) | 2017.03.29 |
|---|---|
| MariaDB - Linux CentOS 6 에서 MariaDB yum으로 Install (2) | 2017.03.27 |
| Linux - OS 정보 확인-bit, 버젼등 (0) | 2017.02.23 |
| Linux - 심볼릭 링크 / 하드 링크 생성하기 (0) | 2017.02.16 |
| Linux - RHEL4에 yum 설치 (펌) (0) | 2017.02.14 |