Struts2漏洞为互联网带来严重安全风险
http://www.cac.gov.cn/2014-04/30/c_1112077812.htm
Struts2漏洞為互聯網帶來嚴重安全風險
2014年04月30日 14:37:50來源: 工業和信息化部 分享到:0 ??【打印】?【糾錯】????4月23日,國外安全研究人員發現Apache Struts2 CVE-2014-0094的漏洞補丁中存在嚴重缺陷,能夠被輕易繞過,可導致應用Struts架構的大量互聯網服務器遭受DDoS攻擊、遠程服務器控制等致命威脅。目前,該漏洞尚無徹底的修復方法,且由于新聞炒作和漏洞利用代碼的大量擴散,我國國內眾多政府、門戶、電商、金融機構、運營商等大型網站都面臨惡意攻擊。
????一、漏洞成因
????根據國家信息安全漏洞共享平臺(CNVD)分析,Apache Struts 2.0.0-2.3.16版本的默認上傳機制是基于Commons FileUpload 1.3版本,其附加的ParametersInterceptor允許訪問 'class' 參數(該參數直接映射到getClass()方法),并允許控制ClassLoader。在具體的Web容器部署環境下(如:Tomcat),攻擊者利用Web容器下的Java Class對象及其屬性參數(如:日志存儲參數),可向服務器發起遠程代碼執行攻擊,進而植入網站后門控制網站服務器主機。
????目前,已經驗證的測試案例表明Tomcat服務器易被發起拒絕服務或遠程滲透攻擊,同時CNVD認為ClassLoader安全繞過漏洞可進一步涉及部署其他Web容器的網站服務器。
????二、漏洞影響
????該漏洞影響范圍廣泛,涉及大量政府、門戶、電商和銀行等網站,可能導致這些網站遭受數據泄露、DDoS攻擊和遠程服務器控制。目前,該漏洞尚無徹底的修復方法,且由于新聞炒作和漏洞利用代碼的大量擴散,潛在影響嚴重。
????1.大量政府、門戶、電商和銀行等網站面臨嚴重安全威脅。由于Struts架構廣泛應用于政府、大型互聯網企業、金融機構等網站建設,并作為網站開發的底層框架使用,所以此次補丁繞過漏洞可能使大量政府、門戶、電商、銀行等網站遭受惡意攻擊。根據CERT CNVD 對全網及教育網內的18043個活躍網站進行漏洞檢測,其中有1620個網站存在漏洞,漏洞率達到8.9%。
????電商、銀行、門戶、政府等網站一旦被黑客攻破,可能面臨兩種惡意攻擊:電商、銀行等網站,很容易導致用戶帳號密碼丟失;門戶、政府網站由于在用戶心中可信度較高,很容易被不法分子利用,通過發布釣魚欺詐鏈接誘使網民受騙。
????2.該漏洞能導致數據泄露、DDoS攻擊和遠程服務器控制。Struts2漏洞影響巨大,黑客可利用該補丁繞過漏洞對遠程目標服務器執行任意系統命令,輕則竊取網站數據信息,嚴重的可取得網站服務器控制權,構成信息泄露和運行安全威脅。
????3.該漏洞呈擴散趨勢,潛在影響嚴重。目前,該漏洞尚無徹底的修復方法,且由于新聞炒作和漏洞利用代碼的大量擴散,攻擊者可能通過該漏洞作為突破口滲透進入政府和企業內部網絡長期蟄伏,不斷收集各種信息,直到收集到重要情報,我國國內眾多政府、互聯網企業、金融機構、運營商等大型網站都面臨嚴重的潛在影響。
????三、漏洞應對
????我國的國家信息安全漏洞共享平臺(CNVD)和中國國家信息安全漏洞庫(CNNVD)都已發布漏洞詳細信息,CNVD還給出了漏洞處置措施和建議。
????美國計算機應急準備小組(US-CERT)也發布了相應漏洞公告(Apache Struts2 ClassLoader allows access to class properties via request parameters)。
????Apache Struts2官方在GitHub上對該漏洞做出了修正,然而官方給出的補丁仍然存在漏洞,可被繞過,所以目前尚無針對該漏洞的修補方案。
????我國國內多個安全企業也發布了漏洞消息并提供了安全建議:啟明星辰提供了代碼修改的安全建議,天融信發布了漏洞補丁,360安全中心發布應急修復方案和Struts2漏洞的在線檢測方案,南京翰海源公司和瑞星公司提供臨時解決方案。
????四、漏洞炒作
????我國兩大漏洞庫發布該漏洞后,新聞網站、新浪微博、技術論壇和公司網站等對該漏洞進行了大量轉載,新浪微博上相關微博達到3.1萬多條,甚至一些網站還發布或轉載漏洞利用代碼。
????1.發布或轉載該漏洞的綜合及專業新聞網站包括:環球科技網、搜狐網、MSN中文網、北方網、51CTO、IT168、比特網、通信世界網、ZDNet網站、中國信息安全博士網、紅黑聯盟等。
????2.發布或轉載該漏洞的論壇包括:FreeBuf網站、紅聯社區、開源中國社區、安全聯盟官方論壇等。
????3.發布漏洞信息和安全建議的公司網站包括:啟明星辰、翰海源公司、綠盟科技、知道創宇、天融信、阿里云論壇、奇虎360公司、瑞星、騰訊、百度加速樂、安恒信息網等。
????4.一些網站還發布或轉載漏洞利用代碼。翰海源公司在Apache struts2 0day預警中描述了繞過該漏洞的方式,只對某些代碼進行了遮擋;烏云網個人博客詳細描述了Struts2 s2-020 DDOS和遠程命令執行漏洞的細節;nxadmin網對補丁繞過方法進行了猜測,給出了DDos利用方法、遠程命令執行方法;黑吧安全網在分析該漏洞的同時也列出了漏洞繞過代碼;PHP toJava網站、黑客技術網和緣分技術論壇對漏洞利用代碼等信息進行了轉載。
????工業和信息化部電子科技情報研究所網絡與信息安全研究部
轉載于:https://www.cnblogs.com/leeeee/p/7276086.html
總結
以上是生活随笔為你收集整理的Struts2漏洞为互联网带来严重安全风险的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 拼音输入法的数学原理
- 下一篇: 专业实训题目需求分析