去年的Apache Struts2的远程代码执行漏洞风暴影响刚刚散去,近日又有安全研究人员指出Apache Struts2在今年的漏洞公告S2-020里,处理修复CVE-2014-0094的漏洞修补方案存在漏洞,导致补丁被完全绕过。Apache Struts2官方在GitHub上已对该问题做出了修正。
【专题推荐】:Struts2漏洞再现 拉响网站安全红色警报
目前该漏洞已呈扩散趋势,攻击者可能利用这个补丁绕过漏洞在远程目标服务器执行任意系统命令,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构成信息泄露和运行安全威胁。
特别是政府、公安、交通、金融和运营商等尤其需要重视该漏洞,这些单位和机构需要非常重视信息安全保密工作,敏感信息的泄漏有可能对国家造成沉重的打击,甚至会违反相关的法律规定。在最近几年APT攻击横行的时期,骇客早也不再以挂黑页炫耀为目的,攻击者可能通过该漏洞作为突破口渗透进入其内部网络长期蛰伏,不断收集各种信息,直到收集到重要情报。请记住,在如今的互联网时代,只要是能换成钱的东西,骇客们都愿意尝试,其中更不乏诸多政治骇客(如国际黑客组织Anonymous)。
安恒信息的安全专家提醒目前正在使用Struts框架的网站管理员,时刻关注Struts官方修复方案,并对Struts官方修复内容进行审核。使用安恒信息明御WEB应用防火墙(WAF)的用户如果开启了安恒信息独有的“防护策略自主学习功能”将不受该漏洞影响;未开启“自主防护学习功能”的用户可以通过其产品内置的虚拟补丁技术在1分钟之内实现对本次漏洞的防护。同时安恒信息已经安排了专业的安全工程师进行24小时紧急值班,随时协助有需要的用户解决防护该漏洞,值班电话400-605-9110。
