Struts2漏洞疯狂来袭 WEB安全危机四伏

安全
Apache Struts2 框架最早于2010年7月14日被发现存在一个严重命令执行漏洞,但随之出现了防范技术,最近随着近期Struts2带回显功能的POC被公布,出现大量的利用工具,并导致大量使用此框架的网站沦陷,并呈扩散趋势。

关于Apache Struts2 框架:

Apache Struts2 框架是在Struts 和WebWork的技术基础上进行了合并后的全新框架。其全新的Struts 2的体系结构与Struts 1的体系结构的差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开,所以Struts 2可以理解为WebWork的更新产品。Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用,目前大量开发者利用J2ee 开发 Web 应用的时候都会利用这个框架。

Apache Struts2 框架最早于2010年7月14日被发现存在一个严重命令执行漏洞,但随之出现了防范技术,最近随着近期Struts2带回显功能的POC被公布,出现大量的利用工具,并导致大量使用此框架的网站沦陷,并呈扩散趋势。据第三方安全问题反馈平台"乌云"上白帽子的提交来看,国内已有上百个大型网站(主要包括政府、金融、运营商、企业等)存在被该漏洞利用的风险,被骇客恶意攻击的网站不计其数。目前安恒信息的安全产品均能检测和防护该漏洞,彻底阻断骇客的恶意攻击。

图:Struts2远程执行漏洞在第三方安全问题反馈平台WOOYUN的不完全统计情况

如果说"震网"病毒和"火焰"病毒是对信息系统造成了很大的冲击,那么现在的"Struts2漏洞"就是针对互联网社会公共安全的一次挑战。经安恒信息安全人员分析,由于Struts2漏洞的利用工具已经大面积散播,导致恶意攻击者的攻击成本和时间大大降低,攻击者只需要在利用工具中填入存在漏洞的网址或IP,即可自动执行并获取网站权限,未来很可能会成为恶意攻击和信息窃取的主要攻击目标。特别是政府、公安、交通、金融和运营商等尤其需要重视该漏洞,这些单位和机构需要非常重视信息安全保密工作,敏感信息的泄漏有可能对国家造成沉重的打击,甚至会违反相关的法律规定。在最近几年APT攻击横行的时期,骇客早也不再以挂黑页炫耀为目的,攻击者可能通过该漏洞作为突破口渗透进入其内部网络长期蛰伏,不断收集各种信息,直到收集到重要情报。请记住,在如今的互联网时代,只要是能换成钱的东西,骇客们都愿意尝试,其中更不乏诸多政治骇客(如国际黑客组织Anonymous)。

图:Struts2漏洞利用工具

安恒信息的安全专家提醒目前正在使用Struts框架的网站的管理员,目前Aapche官方已经在Struts 2.2.0版本中修复了这个安全问题。由于struts 2.2.0仍然存在其他安全问题,建议用户请尽快升级到当前最新版本2.3.4。另外,在修补漏洞的同时千万不要忘记查看服务器或网站是否已经被入侵,是否存在后门文件等,尽量将损失和风险控制在可控范围内。

安恒信息目前也就针对这种情况升级了明御WEB应用防火墙(WAF)的策略提供防护,同时已经安排了24小时电话紧急值班(400-605-9110),随时协助有需要的客户解决该漏洞。

 

责任编辑:守望幸福 来源: 51CTO.com
相关推荐

2023-08-07 18:47:44

2009-05-13 09:07:58

Web2.0FacebookTwitter

2011-10-28 10:12:03

Android版本分化

2021-09-12 07:57:06

多线程

2014-11-06 09:44:28

2021-10-08 06:50:31

远程办公密码

2020-12-01 09:16:02

网络安全信息安全技术

2012-07-23 00:56:37

2021-04-25 17:52:11

数字中国/网络安全

2022-05-07 09:49:39

漏洞网络安全网络攻击

2009-03-30 13:36:43

2024-11-01 14:56:09

2024-07-18 15:03:56

2013-07-18 15:09:27

2013-07-19 09:36:04

struts2struts2漏洞

2013-08-15 16:44:25

2013-07-22 10:45:56

2016-06-08 10:09:24

2018-09-04 13:30:33

华为云

2013-05-22 10:28:19

点赞
收藏

51CTO技术栈公众号