کشف یک آسیبپذیری جدیدِ emote Code Execution در Apache Struts، که یک چهارچوب نرمافزاری محبوبِ برنامههای کاربردی وب Open Source میباشد، هکرها را قادر ساخته است که در حملات خود ماشینهای هدف را تحت کنترل بگیرند. این آسیبپذیری (CVE-2018-11776) برروی نرمافزاری تاثیر میگذارد که تخمین زده شده 65 درصد از 100 شرکت برتر از دید مجلهی Fortune از آن استفاده میکنند و این مقدار در حال افزایش است.
گفته میشود دلیل اصلی بروز این آسیبپذیری، عدم اعتبارسنجی مناسب دادههای کاربر در هستهی Struts میباشد. اعلام این آسیبپذیری که در ماه آوریل توسط فردی به نام Man Yue Mo از گروه پژوهشی Semmle Security شناسایی شد، نگرانی متخصصان امنیت اطلاعات را برانگیخت. در ماه ژوئن Patchی برای این آسیبپذیری ارائه شد و از کاربران Apache Struts درخواست گردید که به سرعت این Patch را اعمال نمایند.
آسیبپذیریهای (Remote Code Execution (RCE مانند آسیبپذیریهایی که Equifax و Apache Struts را تحت تاثیر قرار دادهاند، به دلایل متعددی بسیار خطرناک هستند. بر اساس گفتهی Pavel Avgustinov، یکی از پایهگذاران تیم Semmle، وبسایتهای مشتریمحور که به صورت عمومی در دسترس میباشند، از Struts استفاده میکنند و با توجه به آنکه سیستمهای آسیبپذیر به سادگی قابلشناسایی بوده و میتوان از این آسیبپذیری سوءاستفاده نمود، لذا درخواست شده است که کارشناسان مربوطه سریعتر از راهکارهای ارائه شده جهت مقابله با نفوذ هکرها استفاده کنند.
هکرها میتوانند در عرض چند دقیقه به سیستم وارد شوند و دادههایی را خارج کرده و یا شرایط را برای حملههای بیشتر به سیستمی که در معرض خطر قرار گرفته، فراهم نمایند. بهروزرسانی سیستمهایی که تحت تاثیر قرار گرفتهاند امری بسیار ضروریست و تعویق این امر ریسک بزرگی در سازمانها میباشد.
یک آسیبپذیری معروف در Apache Struts دلیل اصلی نقض امنیتی Equifax در سال 2017 بود که منجر به دزدیده شدن دادههای 148 میلیون نفر شد و به گفتهی شرکت بیش از 600 میلیون دلار خسارت برجا گذاشت. مدتی کوتاهی پس از اعلام آسیبپذیری که از آن برعلیه Equifax استفاده شده بود، هکرها سعی کردند که از این آسیبپذیری بهرهی بیشتری ببرند و از آن در مقابل اهدافی در دولت ایالات متحده، مانند پنتاگون استفاده نمایند. David Hogue، یکی از مدیران فنی ارشد در مرکز عملیاتهای تهدیدات امنیت سایبریِ آژانس امنیت ملی آمریکا بیان داشت که در زمان انتشار آسیبپذیری که در سال 2017 موجب زیان Equifax شد، در عرض 24 ساعت باعث ایجاد یک تهدید امنیتی ملی شده بود که به دنبال سرورهای Patch نشده در وزارت دفاع ایالات متحده میگشتند.