2013年7月17日是許多安全運維���、黑客的不眠之夜……Struts2高危漏洞造成大規(guī)模的信息泄露將會影響無數(shù)網(wǎng)民(可能無人能夠幸免……)利用漏洞�����,黑客可發(fā)起遠程攻擊��,輕則竊取網(wǎng)站數(shù)據(jù)信息��,嚴重的可取得網(wǎng)站服務器控制權����,構成信息泄露和運行安全威脅�。
據(jù)烏云目前掌握的情況:Struts漏洞影響巨大,受影響站點以電商����、銀行、門戶�����、政府居多。而且一些自動化�����、傻瓜化的利用工具開始出現(xiàn)�,填入地址可直接執(zhí)行服務器命令,讀取數(shù)據(jù)甚至直接關機等操作...
以下是國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心發(fā)布的關于Apache Struts2 遠程命令執(zhí)行高危漏洞和開放重定向高危漏洞的情況通報:
安全公告編號:CNTA-2013-0022
近期�,我中心主辦的國家信息安全漏洞共享平臺收錄了Apache Struts存在一個遠程命令執(zhí)行漏洞和一個開放重定向漏洞(編號:CNVD-2013-28972,對應CVE-2013-2251; CNVD-2013-28979��,對應CVE-2013-2248)����。利用漏洞,可發(fā)起遠程攻擊����,輕則竊取網(wǎng)站數(shù)據(jù)信息,嚴重的可取得網(wǎng)站服務器控制權�����,構成信息泄露和運行安全威脅��,F(xiàn)將有關情況通報如下:
一���、漏洞情況分析
Struts2 是第二代基于Model-View-Controller (MVC)模型的java企業(yè)級web應用框架�。它是WebWork和Struts社區(qū)合并后的產(chǎn)物��。具體分析情況如下:
1�����、 Apache Struts遠程命令執(zhí)行漏洞
由于Apache Struts2的action:���、redirect:和redirectAction:前綴參數(shù)在實現(xiàn)其功能的過程中使用了Ognl表達式���,并將用戶通過URL提交的內(nèi)容拼接入Ognl表達式中,從而造成攻擊者可以通過構造惡意URL來執(zhí)行任意Java代碼����,進而可執(zhí)行任意命令。
2��、 Apache Struts開放重定向漏洞
Apache Struts 2DefaultActionMapper在處理短路徑重定向參數(shù)前綴"redirect:"或"redirectAction:"時存在開放重定向漏洞���,允許遠程攻擊者利用漏洞操作"redirect:"或"redirectAction:"后的信息�����,重定向URL到任意位置�。
二、漏洞影響評估
CNVD對遠程命令執(zhí)行漏洞(CNVD-2013-28972)和開放重定向漏洞(CNVD-2013-28979)的評級為“高危”�,由于redirect:和redirectAction:此兩項前綴為Struts默認開啟功能,因此ApacheStruts 2.3.15.1以下版本受到漏洞影響���。該漏洞與在2012年對我國境內(nèi)政府和重要信息系統(tǒng)部門����、企事業(yè)單位網(wǎng)站造成嚴重威脅的漏洞(編號:CNVD-2013-25061���,對應CVE-2013-1966)相比��,技術評級相同且受影響版本更多�����。
三��、漏洞處置建議
廠商已經(jīng)發(fā)布Apache Struts 2.3.15.1以修復此安全漏洞��,建議Struts用戶及時升級到最新版本���。
廠商安全公告:S2-016,S2-017
鏈接:https://struts.apache.org/release/2.3.x/docs/s2-016.html
https://struts.apache.org/release/2.3.x/docs/s2-017.html
軟件升級頁面:https://struts.apache.org/download.cgi#struts23151
CNCERT/CNVD將繼續(xù)跟蹤事件后續(xù)情況��,做好國內(nèi)相關用戶受影響情況的監(jiān)測和預警工作����。同時,請國內(nèi)相關單位做好信息系統(tǒng)應用情況排查工作�,及時采取措施。如需技術支援�����,請聯(lián)系CNVD�����。電子郵箱:vreport@cert.org.cn��,聯(lián)系電話:010-82990286���。
