You are here:--Apache Struts2 원격코드실행 취약점 (CVE-2017-9805) 분석

Apache Struts2 원격코드실행 취약점 (CVE-2017-9805) 분석

원격 공격자가 영향을받는 Struts 프레임워크와 널리 사용되는 REST 통신 플러그인을 사용하여 빌드 된 응용 프로그램을 실행하는 서버에서 임의의 코드를 실행할 수 있도록 해주는 취약점이 발견되었습니다.
이 취약점은 Java에서 안전하지 않은 구조화 된 데이터를 하나의 형식에서 가져 와서 객체로 재구성하는 과정에서 발생하는 취약점입니다.
저희 큐비트 시큐리티는 공격방법이 비교적 쉽고, 공격 받을 시 시스템에 미치는 영향이 크기 떄문에 Apache Struts2취약점(CVE-2017-9805)를 분석하여 PLURA Agent가 탐지하도록 하였습니다.

영향 받는 소프트웨어

– Apache Struts 2.1.2~2.3.33
– Apache Struts 2.5~2.5.12

취약점 원리
Apache Struts 2 REST 플러그인은 JAVA XStream XML 직렬화 라이브러리를 사용하여 사용자 입력을 역직렬화합니다. Apache Struts 2 REST 플러그인이 공격자가 보낸 XML을 deserialize하려고 시도하여 결과적으로 원격 코드 실행이 발생합니다.
사용자가 제어하는 ​​데이터가 deserialization 메서드로 전달되는 방법이 있습니다. 예를 들어, Apache Struts는 ContentTypeHandler 인터페이스를 사용합니다. 데이터를 Java 객체로 변환합니다. 이 인터페이스의 구현은 일반적으로 전달 된 데이터를 deserialize하므로 이 인터페이스를 구현하는 모든 클래스는 잠재적 위험이 있습니다.

취약점 테스트

공격자PC에서 피해자PC의 1337 Port Listen.


공개된 CVE-2017-9805 PoC code 실행


reverse connection이 된 후 공격자가 피해자PC에서 명령어 주입 성공

이러한 공개된 취약점으로 해커들은 다양한 공격을 시도하고있어 많은 피해가 예상됩니다.
저희 PLURA AGENT는 Apache Struts2취약점(CVE-2017-9805)를 아래와 같이 탐지하고 있습니다.

By | 2018-02-06T13:45:48+00:00 2월 6th, 2018|Categories: 미분류|0 Comments

About the Author: