กว่าแปดปีหลังจากที่มีการเปิดเผยครั้งแรก ช่องโหว่ Java deserialization ที่ไม่ได้รับการรับรองความถูกต้อง ซึ่งแฝงอยู่ในเฟรมเวิร์กแอปพลิเคชันโอเพ่นซอร์สของ Google Web Toolkit ยังคงไม่ได้รับการแพตช์ และอาจต้องมีการแก้ไขเฟรมเวิร์กพื้นฐานสำหรับแอปพลิเคชันที่มีช่องโหว่
GWT เป็นชุดเครื่องมือโอเพ่นซอร์สที่ช่วยให้นักพัฒนาเว็บสามารถสร้างและบำรุงรักษาแอปพลิเคชันส่วนหน้า JavaScript ใน Java ตามแพลตฟอร์มการติดตามเทคโนโลยี Enlyft มีประมาณ 2,000 รายการ บริษัทที่ใช้ GWTซึ่งส่วนใหญ่มีขนาดเล็ก โดยมีพนักงานตั้งแต่ 10 ถึง 1 คน และมีรายได้ต่อปีระหว่าง 10 ล้านถึง XNUMX ดอลลาร์
ในงานวิจัยใหม่ บิชอป ฟ็อกซ์ ผู้บริหารระดับสูง เบน ลินคอล์น แสดงความไม่เชื่อว่า ช่องโหว่ GWTซึ่งช่วยให้สามารถเรียกใช้โค้ดจากระยะไกลได้ ยังไม่ได้รับการแก้ไขในช่วงหลายปีที่ผ่านมา โดยเสริมว่า ข้อบกพร่องของการดีซีเรียลไลซ์ Java คล้ายกับ ช่องโหว่ Spring4Shell ค้นพบในปี 2022
“หากไม่มีการออกแพตช์ อย่างน้อยฟีเจอร์เฟรมเวิร์กที่มีช่องโหว่ (อาจ) ได้ถูกทำเครื่องหมายว่าเลิกใช้แล้ว และเอกสารเฟรมเวิร์ก (สามารถ) ให้คำแนะนำในการแทนที่โค้ดที่มีช่องโหว่ด้วยทางเลือกอื่นที่อัปเดต” ลินคอล์นเขียน “อย่างน้อยที่สุด นักพัฒนาเฟรมเวิร์ก (สามารถ) ได้อัปเดตบทช่วยสอน 'เริ่มต้นใช้งาน' และเอกสารอื่น ๆ อย่างไม่ต้องสงสัย เพื่อระบุถึงอันตรายโดยธรรมชาติของการใช้ฟีเจอร์ที่มีช่องโหว่ แทนที่จะเน้นฟังก์ชันการทำงาน”
ผู้ดูแลโค้ดไม่ได้ดำเนินการขั้นตอนใดเลยนับตั้งแต่ ข้อบกพร่อง GWT มีการพูดคุยอย่างเปิดเผยครั้งแรกในปี 2015 ลินคอล์นกล่าวในการโพสต์ของเขาโดยให้รายละเอียดอย่างชัดเจนว่าแอปพลิเคชัน GWT ที่มีช่องโหว่สามารถถูกนำไปใช้ประโยชน์ในโลกแห่งความเป็นจริงได้อย่างไร
การบรรเทาแอปพลิเคชันที่มีช่องโหว่
การบรรเทาผลกระทบสำหรับแอปพลิเคชันเว็บที่ถูกเปิดเผยจะเป็นการยกระดับอย่างหนัก Lincoln เตือน
ช่องโหว่นี้อยู่ในระดับพื้นฐาน “การรักษาความปลอดภัยแอปพลิเคชันเว็บที่มีช่องโหว่ที่เขียนโดยใช้เฟรมเวิร์กนี้อาจจำเป็นต้องมีการเปลี่ยนแปลงทางสถาปัตยกรรมของแอปพลิเคชันเหล่านั้นหรือตัวเฟรมเวิร์กเอง” เขาอธิบายในการวิจัยของเขา
ในการเริ่มต้น Lincoln บอกกับ Dark Reading ว่าผู้ดูแลระบบที่ใช้งานแอปพลิเคชันที่มีช่องโหว่จำเป็นต้องวางแผนสำหรับสถานการณ์ที่เลวร้ายที่สุดและดำเนินการจากที่นั่น
“[พวกเขาควรถาม] เราจะทำอย่างไรหากธุรกิจของเราต้องบล็อกการเข้าถึงแอปพลิเคชันนี้โดยเริ่มทันที และไม่กู้คืนการเข้าถึงจนกว่าจะมีการแก้ไข” ลินคอล์นพูดว่า
ในวงกว้าง เพื่อหลีกเลี่ยงการดำเนินการกับข้อบกพร่องที่ทราบและยังไม่มีการแก้ไขเหล่านี้ เขาแนะนำให้ดูว่าผู้ดำเนินการส่วนประกอบบุคคลที่สามตอบสนองต่อการแพตช์อย่างไร
“เมื่อพวกเขานำไปสู่ผลลัพธ์ประเภท 'ไม่ใช่ปัญหาของเรา' ซึ่งตรงข้ามกับแพทช์ ให้ประเมินว่าองค์กรของคุณเห็นด้วยกับจุดยืนนั้นหรือสมควรที่จะเปลี่ยนส่วนประกอบ สร้างเวอร์ชันที่กำหนดเองพร้อมการแก้ไข ฯลฯ” Lincoln แนะนำ “หากถือว่ามีความเสี่ยงต่ำ ให้ติดตามภายในว่าเป็นช่องโหว่ที่จะได้รับการตรวจสอบอย่างน้อยปีละครั้งเพื่อดูว่าองค์กรยังคงได้ข้อสรุปแบบเดียวกันหรือไม่”
เขากล่าวเสริมว่า “สำหรับแอปพลิเคชันที่พัฒนาขึ้นภายในองค์กร ให้ตรวจสอบรายการส่วนประกอบของบุคคลที่สามที่แอปพลิเคชันเหล่านั้นใช้อยู่เป็นระยะๆ และพิจารณาย้ายออกจากที่ใดก็ตามที่ความนิยมหรือกิจกรรมของนักพัฒนาดูเหมือนจะลดลง แม้ว่าจะไม่เป็นเช่นนั้นก็ตาม ละทิ้งอย่างเป็นทางการหรือไม่ได้รับการสนับสนุน”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud-security/unpatched-gwt-vuln-leaves-apps-open-server-side-rce