Struts2漏洞的前因后果

Apache Struts2 作为世界上最流行的 Java Web 服务器框架之一,近期被爆出两大高危漏洞:S2-045(CVE-2017-5638)和S2-046(CVE-2017-5638)。消息公布后,在互联网界引起了轩然大波。

黑客可通过漏洞远程代码执行

其中编号为CVE-2017-5638的漏洞(S2-045),是基于Jakarta plugin插件的Struts远程代码执行漏洞。该漏洞会造成RCE远程代码执行,恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令,可直接造成系统被控制。黑客通过Jakarta文件上传插件实现远程利用该漏洞执行代码。编号为S2-046的漏洞则是攻击者可通过Content-Length或者Content-Disposition构造恶意的OGNL内容,同样会造成远程代码执行。

全球互联网上开放的Apache Struts分布

中国互联网上开放的Apache Struts分布

此前某东的12GB用户信息数据包在网络上外泄的事件就是源自2013年 Struts 2的安全漏洞造成。泄露的数据包中包括了某东的用户名、密码、邮箱、QQ号、电话号、身份证信息等,其内部数据多达数千万条。某东在2016年12月10日也通过官方微信公众号针对此事件进行了证实与回应。

Struts 作为一个“世界级”开源架构,在我国广泛应用于教育、金融、互联网、通信等重要行业,它的一个高危漏洞危害都有可能造成重大的互联网安全风险和巨大的经济损失。纵观Struts安全问题列表(下图),可以远程代码执行的漏洞竟多达13个(黄色高亮标注)。

Struts安全问题列表

以往Struts高危漏洞事件回顾

回顾一下以往Struts的几次重点安全事件,梳理一下Struts危机的来龙去脉,不难发现每一个安全漏洞都可能造成巨大的风险。

2012年,S2-007(S2-XXX是Struts官方自己的漏洞编号,对应的是 CVE-2012-0838)爆发,和S2-003、S2-005的漏洞源头都是一样的,都是struts2对OGNL的解析过程中存在漏洞,导致黑客可以通过OGNL表达式实现代码注入和执行。

受影响版本:Struts 2.0.0 – Struts 2.2.3,需要更新到2.2.3.1。

2013年,S2-016(CVE-2013-2251)和S2-017(CVE-2013-2248)爆发,也是远程代码执行高危漏洞,新闻报道这是黑客的疯狂盛宴。

受影响版本:Struts 2.0.0 – Struts 2.3.15,需要更新到2.3.15.1

2016年,Apache Struts2 服务在开启动态方法调用的情况下可以远程执行任意命令,官方编号 S2-032(CVE-2016-3081)。黑客利用该漏洞,可对企业服务器实施远程操作,从而导致数据泄露、远程主机被控、内网渗透等重大安全威胁。

受影响版本:Struts 2.3.20 – Struts Struts 2.3.28 (except 2.3.20.3 and 2.3.24.3),需要更新到Struts versions 2.3.20.3, 2.3.24.3 or 2.3.28.1。

前文介绍的2017年的两个远程代码执行的高危漏洞S2-045(CVE-2017-5638)和S2-046(CVE-2017-5638)

受影响版本:Struts 2.3.5 – Struts 2.3.31, Struts 2.5 – Struts 2.5.10,需要更新到Struts versions Struts 2.3.32 or Struts 2.5.10.1。

根据Macfee对漏洞传播的研究,黑客对漏洞的利用速度往往高于安全管理人员的防护速度。

因此,怎样在0DAY漏洞爆发后,赶在黑客的狂欢和肆虐前快速“堵住”高危漏洞以完善网络安全对于各行业用户来说至关重要。但是实际情况却让人堪忧。联软近期进行的网络调研结果显示,有相当多企业的安全运维人员不知道自己是否用到了Struts,不知道在自家的网络中哪些设备或服务可能受到攻击,因此在此类漏洞爆发后不仅会面对巨大的压力,同时也不能快速进行针对性的安全加固和危机补救。

面对如Struts漏洞此类安全危机,联软推出基于SCAP(Security Content Automation Protocol)协议和标准开发的UniSIMS服务器安全运维技术解决方案。其提供了智能资产识别和管理能力,以及可以无限扩展的安全检查能力。为此,UniSIMS的解决方案在金融,通信运营商等领域受到客户的一致好评。

快速检查受影响的设备

首先是帮助管理员快速了解网络安全状况,利用UniSIMS的快速安全检查能力,安全管理员可以把Struts漏洞检查规则迅速推向所有的服务器设备,在几分钟之内得到结果,清楚的知晓哪些服务器设备上存在风险。

精准查找风险组件网络位置

UniSIMS可以针对所有服务器进行精细的资产管理,能有效收集和管理服务器上详细的资产信息,细致到WEB中间件使用的架构(例如Struts),以及在中间件上部署哪些应用等。因此,安全管理员可以在管理后台快速的查找出受Struts影响的应用和其版本,了解其部署在哪些中间件上(例如Tomcat或JBOSS)、其运行在那些设备上,以及这些设备的运维负责人。以此来快速的安排漏洞修补和网络加固工作。

在开源组件极其广泛使用的今天,资产深度管理解决方案尤为重要。如曾经带来震撼的OPENSSL漏洞、前段时间的淘宝的FASTJSON组件漏洞等也可以用联软UniSIMS来进行快速定位和防范。与此同时,随着IT架构日益复杂以及业务应用和网络设备的不断增加,管理员需要面对越来越繁杂的运维管理工作,因此需要一个有效的资产管理解决方案来进行管理,让业务安全可控。

本文转自d1net(转载)

时间: 2024-09-15 12:23:25

Struts2漏洞的前因后果的相关文章

struts2 漏洞CVE-2017-5638 S2-046 注意后面的编号不一样 绿盟科技发布威胁预警通告

3月8日,安全加报道 struts2 漏洞分析与防护方案 CVE-2017-5638 S2-045 ,今天又爆出一个漏洞.不过不用惊慌,这个漏洞跟前两天的s2-045漏洞的CVE编号(CVE-2017-5638)是一样的,只是攻击利用时候的攻击字段发生了改变.如果已经按照s2-045漏洞的升级要求升级到2.3.32或者2.5.10.1的话,就不受影响了.绿盟科技发布< Apache Struts2 远程代码执行漏洞(S2-046)威胁预警通告 >,全文见后. Apache Struts2官方描

从数据包视角解析新型Struts2漏洞攻击全过程

本文讲的是从数据包视角解析新型Struts2漏洞攻击全过程,万年漏洞王 Struts2作为世界上最流行的 Java Web 服务器框架之一,已经被炒得沸沸扬扬,其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码. 新的漏洞出现,必然会存在漏洞利用的情况,如果在没有升级和打补丁的情况下已被攻击,即使漏洞得到

思科又发紧急安全通告 IOS集群管理协议漏洞和Struts2漏洞 有影响产品列表及应对措施了

思科今天更新了两个"紧急"的安全通告,一个针对 Cisco互联网操作系统(IOS) 和Cisco IOS XE Software,另一个针对问题不断的 Apache Struts2 ,确认了两个漏洞对于思科产品的影响列表(密密麻麻数不清,大家点文末的官方文档,自己看吧),并给出了临时应对措施.在此之前,绿盟科技 曾就前一个漏洞 CVE-2017-3881 作出应对措施的整理 . 思科集群管理协议漏洞CVE-2017-3881 思科表示, IOS漏洞存在于Cisco IOS和Cisco

Struts2漏洞频出 或因Apache底层代码编写不严

中介交易 SEO诊断 淘宝客 云主机 技术大厅 日前,Struts2再次爆出安全漏洞,主要影响国内电商.银行.运营商等诸多大型网站和为数众多的政府网站.国外安全研究人员日前发现,Apache Struts2在处理CVE-2014-0094的漏洞补丁中存在缺陷,会被轻易绕过,可导致任意命令执行.黑客进而能够窃取到网站数据,或者对网站进行DDoS攻击. 4月24日,360网站卫士第一时间添加防御规则,并率先发布临时解决方案;4月25日下午,Apache官方才发布Struts2漏洞的临时修复方案;4月

Struts2漏洞引发互联网恐慌 加速乐紧急发布防御规则

中介交易 SEO诊断 淘宝客 云主机 技术大厅 7月17日,著名Java Web框架Struts2被曝存在远程任意代码的高危漏洞,该漏洞可以影响Struts2.0-Struts2.3所有版本;攻击者可以利用该漏洞,快速取得服务器权限,进而对服务器进行数据库窃取.网站内容文件删除修改.服务器开关机等敏感操作.该漏洞被布布后,包括人人网.百度.中国电信.腾讯等众多大型互联网公司受到影响,7月17日晚上注定成为了运维人员的不眠之夜. 漏洞公众后,做为国内最大的免费云安全服务提供商加速乐在2小时后即发布

Struts2漏洞爆发 知道创宇云安全已拦截近万攻击样本

截止到4月27日10:30,知道创宇云安全的CloudEye平台已捕获9810次关于该漏洞的攻击并成功防御. 昨日,Apache Struts2官方发布安全公告, Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度极高.截止到4月27日10:30,知道创宇云安全的CloudEye平台已捕获9810次关于该漏洞的攻击并成功防御.  知道创宇云安全CloudEye实时捕获的Struts2漏洞相关数据  根据CloudEye实时捕获的相关数据来看

struts2 漏洞分析与防护方案 CVE-2017-5638 S2-045 除了升级外还是有修复方案的

昨天安全加报道了 Struts 2再爆高危漏洞CVE-2017-5638 绿盟科技发布免费扫描工具及产品升级包 ,今天绿盟科技又发布了分析和防护方案 Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,漏洞编号为CNNVD-201703-152.攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码. 相关链接如下: https://cwiki.apache.org/confluence

360网站安全发布Struts2漏洞检测工具

中介交易 SEO诊断 淘宝客 云主机 技术大厅 360网站安全率先发布"Struts2漏洞检测工具".截止到今天上午10点,已经有800多家网站通过该工具进行了安全检测. "Struts2漏洞检测"工具使用非常简单,只需要输入域名即可进行检测.检测结果中,还提供了该Struts2漏洞的临时修复方案. Apache Struts2的该漏洞是国外安全研究人员日前发现的.研究人员发现,Apache Struts2在处理CVE-2014-0094的漏洞补丁中存在缺陷,会被轻

Struts2 漏洞分析及如何提前预防_java

    2016年4月26日,Apache Struts2官方又发布了一份安全公告:Apache Struts2 服务在开启动态方法调用的情况下可以远程执行任意命令,官方编号 S2-032,CVE编号 CVE-2016-3081.这是自2012年Struts2命令执行漏洞大规模爆发之后,该服务时隔四年再次爆发大规模漏洞.该漏洞也是今年目前爆出的最严重安全漏洞.黑客利用该漏洞,可对企业服务器实施远程操作,从而导致数据泄露.远程主机被控.内网渗透等重大安全威胁.     漏洞发生后,又是一次安全和相