کمیته رکن چهارم – اوراکل وصلههایی را برای بسیاری از محصولات خود بهمنظور رفع چندین آسیبپذیری در چارچوب آپاچی Struts۲ منتشر کرده است، یکی از این آسیبپذیریها در طول چند هفتهی گذشته مورد بهرهبرداری قرار گرفته است. این آسیبپذیری فعال، CVE-۲۰۱۷-۹۸۰۵، یک کد اثبات مفهومی است که در عرض چند ساعت پس از یک وصلهی منتشرشده توسط توسعهدهندگان آپاچی Struts در تاریخ ۵ سپتامبر، انتشار یافت. کمی بعد، چندین شرکت امنیتی مشاهدهی حملاتی را گزارش دادند.
این آسیبپذیری که از روشی که Struts دادههای غیرقابل اعتماد را دیسریالایز میکند، ناشی میشود، اجازهی اجرای کد از راه دور را داده و بر برنامههایی که از افزونهی REST با راهانداز XStream و ظرفیت XML استفاده میکنند، تاثیر میگذارد. یک فهرست طولانی از محصولات اوراکل وجود دارد که از آپاچی Struts استفاده کرده و بهدلیل آسیبپذیریهای موجود در چارچوب توسعهی متنباز، در معرض حمله قرار دارند. این فهرست شامل نظارت بر تشکیلات اقتصادی MySQL، مدیریت سیاست ارتباطات، بانکداری خصوصیFLEXCUBE ،Retail XBRi ، Siebel، کارگزار وِبلوگیک و خدمات مختلف مالی و حق بیمه است.
تنها آسیبپذیری مورد بهرهبرداری قرار گرفته در محصولات اوراکل، آپاچی Struts نیست. در آخرین بهروزرسانیهای این شرکت، چندین آسیبپذیری Struts دیگر که اخیرا توسط بنیاد نرمافزاری آپاچی منتشر شده، نیز رفع شده است، از جمله CVE-۲۰۱۷-۷۶۷۲ ،CVE-۲۰۱۷-۹۷۸۷ ،CVE-۲۰۱۷-۹۷۹۱ ،CVE-۲۰۱۷-۹۷۹۳ ،CVE-۲۰۱۷-۹۸۰۴ و CVE-۲۰۱۷-۱۲۶۱۱. اریک موریس، مدیر تضمین امنیت در اوراکل در یک پست وبلاگ نوشت: «اوراکل بهشدت توصیه میکند که مشتریان در اسرع وقت، اصلاحات موجود در این هشدار امنیتی را اعمال کنند.» US-CERT نیز به کاربران توصیه کرده است که هشدارهای امنیتی اوراکل را بازبینی کرده و بهروزرسانیهای لازم را اعمال کنند.
اوراکل این واقعیت را برجسته کرد که آسیبپذیری آپاچی Struts با شناسهی CVE-۲۰۱۷-۵۶۳۸ که برای نقض سامانههای آژانس گزارش گواهینامههای آمریکا، اِکیوفاکس، مورد بهرهبرداری قرار گرفته است، چند ماه پیش با انتشار بهروزرسانی وصلههای مهم (CPU) ماه آپریل ۲۰۱۷ میلادی، در محصولات آن وصله شده بود. این شرکت همچنین به مشتریان توصیه کرده است که وصلههای منتشر شده در آخرین CPU در ماه ژوئیه را نصب کرده و دور بعدی وصلهها که برای ۱۷ اکتبر برنامهریزی شده است، را نیز مرور کنند.
منبع : news.asis.io
