2013年7月17日是許多安全運(yùn)維��、黑客的不眠之夜……Struts2高危漏洞造成大規(guī)模的信息泄露將會(huì)影響無(wú)數(shù)網(wǎng)民(可能無(wú)人能夠幸免……)利用漏洞��,黑客可發(fā)起遠(yuǎn)程攻擊����,輕則竊取網(wǎng)站數(shù)據(jù)信息,嚴(yán)重的可取得網(wǎng)站服務(wù)器控制權(quán)��,構(gòu)成信息泄露和運(yùn)行安全威脅��。
據(jù)烏云目前掌握的情況:Struts漏洞影響巨大����,受影響站點(diǎn)以電商、銀行����、門(mén)戶�、政府居多����。而且一些自動(dòng)化、傻瓜化的利用工具開(kāi)始出現(xiàn)�,填入地址可直接執(zhí)行服務(wù)器命令,讀取數(shù)據(jù)甚至直接關(guān)機(jī)等操作...
以下是國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的關(guān)于Apache Struts2 遠(yuǎn)程命令執(zhí)行高危漏洞和開(kāi)放重定向高危漏洞的情況通報(bào):
安全公告編號(hào):CNTA-2013-0022
近期����,我中心主辦的國(guó)家信息安全漏洞共享平臺(tái)收錄了Apache Struts存在一個(gè)遠(yuǎn)程命令執(zhí)行漏洞和一個(gè)開(kāi)放重定向漏洞(編號(hào):CNVD-2013-28972,對(duì)應(yīng)CVE-2013-2251; CNVD-2013-28979�,對(duì)應(yīng)CVE-2013-2248)。利用漏洞���,可發(fā)起遠(yuǎn)程攻擊�,輕則竊取網(wǎng)站數(shù)據(jù)信息�,嚴(yán)重的可取得網(wǎng)站服務(wù)器控制權(quán),構(gòu)成信息泄露和運(yùn)行安全威脅����,F(xiàn)將有關(guān)情況通報(bào)如下:
一、漏洞情況分析
Struts2 是第二代基于Model-View-Controller (MVC)模型的java企業(yè)級(jí)web應(yīng)用框架。它是WebWork和Struts社區(qū)合并后的產(chǎn)物���。具體分析情況如下:
1�、 Apache Struts遠(yuǎn)程命令執(zhí)行漏洞
由于Apache Struts2的action:�����、redirect:和redirectAction:前綴參數(shù)在實(shí)現(xiàn)其功能的過(guò)程中使用了Ognl表達(dá)式��,并將用戶通過(guò)URL提交的內(nèi)容拼接入Ognl表達(dá)式中��,從而造成攻擊者可以通過(guò)構(gòu)造惡意URL來(lái)執(zhí)行任意Java代碼�����,進(jìn)而可執(zhí)行任意命令�。
2�、 Apache Struts開(kāi)放重定向漏洞
Apache Struts 2DefaultActionMapper在處理短路徑重定向參數(shù)前綴"redirect:"或"redirectAction:"時(shí)存在開(kāi)放重定向漏洞,允許遠(yuǎn)程攻擊者利用漏洞操作"redirect:"或"redirectAction:"后的信息���,重定向URL到任意位置�����。
二���、漏洞影響評(píng)估
CNVD對(duì)遠(yuǎn)程命令執(zhí)行漏洞(CNVD-2013-28972)和開(kāi)放重定向漏洞(CNVD-2013-28979)的評(píng)級(jí)為“高危”����,由于redirect:和redirectAction:此兩項(xiàng)前綴為Struts默認(rèn)開(kāi)啟功能���,因此ApacheStruts 2.3.15.1以下版本受到漏洞影響����。該漏洞與在2012年對(duì)我國(guó)境內(nèi)政府和重要信息系統(tǒng)部門(mén)�、企事業(yè)單位網(wǎng)站造成嚴(yán)重威脅的漏洞(編號(hào):CNVD-2013-25061,對(duì)應(yīng)CVE-2013-1966)相比���,技術(shù)評(píng)級(jí)相同且受影響版本更多��。
三�、漏洞處置建議
廠商已經(jīng)發(fā)布Apache Struts 2.3.15.1以修復(fù)此安全漏洞�����,建議Struts用戶及時(shí)升級(jí)到最新版本��。
廠商安全公告:S2-016,S2-017
鏈接:https://struts.apache.org/release/2.3.x/docs/s2-016.html
https://struts.apache.org/release/2.3.x/docs/s2-017.html
軟件升級(jí)頁(yè)面:https://struts.apache.org/download.cgi#struts23151
CNCERT/CNVD將繼續(xù)跟蹤事件后續(xù)情況�,做好國(guó)內(nèi)相關(guān)用戶受影響情況的監(jiān)測(cè)和預(yù)警工作。同時(shí)����,請(qǐng)國(guó)內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作,及時(shí)采取措施���。如需技術(shù)支援�,請(qǐng)聯(lián)系CNVD��。電子郵箱:vreport@cert.org.cn���,聯(lián)系電話:010-82990286。
