[CVE 취약점] Apache Struts 2 취약점(CVE-2019-0230)

[CVE 취약점] Apache Struts 2 취약점(CVE-2019-0230)

참조

> https://github.com/PrinceFPF/CVE-2019-0230/blob/master/CVE-2019-0230.sh

> https://www.4hou.com/posts/p7m2

> https://www.tenable.com/blog/cve-2019-0230-apache-struts-potential-remote-code-execution-vulnerability

> https://cwiki.apache.org/confluence/display/WW/S2-059

> https://cwiki.apache.org/confluence/display/WW/S2-060

> https://struts.apache.org/download.cgi

Poc 차단 확인

개요

Apache Struts 2에서 원격코드 실행이 가능한 취약점이 발표됨

낮은 버전을 사용 중인 시스템은 악성코드 감염에 취약할 수 있으므로, 최신 버전으로 업데이트 필요

사용자 입력 데이터 검증이 미흡하여 발생하는 원격코드 실행 취약점(CVE-2019-0230)

파일을 업로드할 때 발생하는 접근권한 오류로 인한 서비스거부 취약점(CVE-2019-2333)

영향 받는 제품 버전

Struts 2.0.0 ~ Strtus 2.5.20 버전

방안

Struts 2.5.22 이상 버전으로 업데이트

- 참조 사이트를 참고하여 2.5.22 버전으로 업데이트 적용 

Snort  

alert tcp any any -> any $HTTP_PORTS (msg:"SERVER-APACHE Apache Struts remote code execution attempt"; flow:to_server,established; content:"Content-Disposition:"; nocase; http_client_body; content:"%{"; distance:0; http_client_body; content:".ognl"; distance:0; fast_pattern; nocase; http_client_body; content:"form-data"; nocase; http_client_body; reference:cve,2017-5638; reference:cve,2017-9791;)

alert tcp any any -> any $HTTP_PORTS (msg:"SERVER-APACHE Apache Struts remote code execution attempt"; flow:to_server,established; content:"|23|_memberAccess"; fast_pattern:only; http_client_body; content:"new "; nocase; http_client_body; pcre:"/new\s+(java|org|sun)/Pi"; reference:cve,2017-12611; reference:cve,2017-5638; reference:cve,2017-9791; reference:url,struts.apache.org/docs/s2-045.html; reference:url,struts.apache.org/docs/s2-048.html; reference:url,struts.apache.org/docs/s2-053.html;)