Apache Struts CVE-2018-11776如何防止被利用

最新推荐文章于 2025-01-18 09:43:58 发布
最新推荐文章于 2025-01-18 09:43:58 发布
阅读量264 收藏
点赞数
分类专栏: 信息安全
原文链接:https://www.sohu.com/a/250873177_100066938
版权
Apache Struts的一个关键漏洞CVE-2018-11776被公开,可能导致远程代码执行。研究人员发布了PoC代码,随后出现针对易受攻击系统的主动扫描和攻击尝试,主要目标是安装加密货币矿工。受影响的系统应当尽快升级到Struts的修复版本2.3.35或2.5.17以防止被利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Apache Struts CVE-2018-11776如何防止被利用

在这里插入图片描述

在上周三(8月22日),Apache软件基金会(也就是Apache Software Foundation,简称为ASF)发布了一份有关一个Apache Struts开源网页应用程序框架关键漏洞的安全公告。该公告指出,如果成功利用,被标识为CVE-2018-11776的漏洞可能允许远程执行代码。仅在一天之后,即2018年8月23日,一位Github ID为“jas502n”的研究人员就发布了针对此漏洞的概念验证(PoC)漏洞利用代码。

hxxps://github.com/jas502n/St2-057/blob/master/README.md
在2018年8月24日,一位Github ID为“pr4jwal”的研究人员还发布了一个可利用该漏洞的Python脚本。

hxxps://github.com/pr4jwal/quick-s/blob/master/s2-057.py
安全事件处理公司Volexity在本周一(8月27日)发布的博文中指出,在PoC代码发布后不久,他们就观察到针对易受攻击系统的主动扫描行为以及试图利用该漏洞的尝试。Volexity还表示,到目前为止所有被观察到的攻击尝试都基于公开发布的PoC代码。另外,至少有一个攻击者试图利用CVE-2018-11776漏洞来安装CNRig加密货币矿工,而最初观察到的扫描来自95.161.225.94和167.114.171.27,这两个IP地址分别来自俄罗斯和加拿大。

以下是Volexity在攻击中观察到的漏洞利用尝试的一个示例:

如果上述漏洞利用尝试成功,那么易受攻击的系统将对下面列出的两个URL 执行wget请求,以便从Github下载CNRig Miner的副本(保存为xrig)以及从BitBucket下载一个shell脚本(upcheck.sh)。

hxxps://github.com/cnrig/cnrig/releases/download/v0.1.5-release/cnrig-0.1.5-linux-x86_64
hxxps://bitbucket.org/c646/zz/downloads/upcheck.sh
上述shell脚本如下所示:

该脚本将执行以下操作:

移除包含关键字rabbit的所有进程。
查找名称中包含关键字check的进程,如果它不是当前进程,则将其移除。
移除sh或xrig的所有实例。
下载三个ELF二进制文件(加密货币矿工),修改它们文件权限,执行文件,然后移除它们。
移除nohup.out。
休眠10分钟(600秒)。
下载的三个ELF二进制文件分别是适用于Intel、ARM和MIPS体系结构的加密货币矿工可执行文件。值得注意的是,这一点表明该矿工能够运行在各种硬件上,如服务器、台式机、笔记本电脑、物联网设备和无线路由器等。换句话来说,它几乎适用于所有运行易受攻击Apache Struts实例的联网设备。

托管此脚本的BitBucket帐户下的downloads文件夹似乎是一个开放的目录。导航到这个页面就可以看到脚本以及上面引用的其他ELF二进制文件:

如果漏洞利用成功,那么加密货币挖掘活动便将开始,这涉及到TCP端口20580上的采矿池us-east.cryptonight-hub.miningpoolhub.com和用户帐户c646.miner。值得注意的是,采矿池帐户名称与攻击者的BitBucket帐户名称相同。Volexity还指出,从BitBucket存储库下载的二进制文件都包含了字符串“Follow the white rabbit ”。

Apache Struts框架在全球范围内有着广泛的使用,其中包括位列《财富》100强企业中65%的企业,如跨国移动电话营办商沃达丰(Vodafone)、美国航空航天制造商洛克希德·马丁(Lockheed Martin)和英国维珍大西洋航空公司(Virgin Atlantic),也包括美国国内税务局(IRS)。

鉴于PoC代码已经被公布,我们毫不怀疑,基于CVE-2018-11776漏洞利用的攻击数量将迅速增加。虽然目前所观察到的有效载荷(payload)似乎主要是加密货币矿工,但这并不意味着攻击者无法部署其他类型的恶意软件。

无论如何,Apache软件基金会已经通过发布Struts版本2.3.35和2.5.17来修复了这个漏洞,因此我们强烈建议使用Apache Struts的企业和开发人员应尽快升级自己的版本。

最新版本下载链接如下:

Struts 2.3.35版本:hxxps://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.35

Struts 2.5.17版本:hxxps://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.17

struts2 代码执行 (CVE-2018-11776
qq_32445755的博客
03-08 921
影响版本 Struts<= Struts 2.3.34, Struts 2.5.16 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。 action元素没有设置名称空间属性,或者使用了通配符名称空间将由用户从uri传递并解析为OGNL表达式,最终导致远程代码执行漏洞。路径为/struts2-showcase/ ...
远程代码执行漏洞(CVE-2018-11776)
最新发布
m0_64662164的博客
01-20 989
描述: Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。action元素没有设置名称空间属性,或者使用了通配符名称空间将由用户从uri传递并解析为OGNL表达式,最终导致远程代码执行漏洞。,将可以看到Struts2的测试页面。环境启动后,访问`http://启动环境后,访问http://改成id之后会显示出数据库信息。花括号进行url编码。
Apache struts2 namespace远程命令执行—CVE-2018-11776(S2-057)漏洞复现
浅浅的博客
07-28 3243
Apache struts2 namespace远程命令执行—CVE-2018-11776(S2-057)漏洞复现 一、漏洞描述 S2-057漏洞产生于网站配置xml的时候,有一个namespace的值,该值并没有做详细的安全过滤导致可以写入到xml上,尤其url标签值也没有做通配符的过滤,导致可以执行远程代码以及系统命令到服务器系统中去。 二、漏洞影响版本 Apache Strut...
struts2 S2-057(CVE-2018-11776)
Z_l123的博客
03-01 1235
漏洞介绍 该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符namespace,可能导致远程代码执行;url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行. 受影响版本 <=Struts2.3.34,Struts 2.5.16 漏洞复现 1.访问地址 http://ip:port/strut..
struts2-057-CVE-2018-11776
weixin_43718688的博客
03-15 243
struts2-057-CVE-2018-11776 搭建环境 首先安装git yum install git-core 安装完成之后运行一下git clone试试,如果出现选项就说明安装成功了。 之后安装docker sudo yum -y install docker-ce 尝试运行一下 docker images 如果出现镜像列表则说明成功安装。接下来就需要安装vulhub了,在这之前,需要先安装pip wget https://bootstrap.pypa.io/get-pip.py python
S2—057 远程命令执行漏洞(CVE-2018-11776
Stephen Wolf
11-23 1985
一、漏洞描述: Apache wiki更新了一个Struts2的远程代码执行漏洞(S2-057),漏洞威胁等级为高危,漏洞对应的CVE编号为CVE-2018-11776。 定义XML配置时如果没有设置namespace的值,并且上层动作配置中并没有设置或使用通配符namespace时,可能会导致远程代码执行漏洞的发生。同样也可能因为url标签没有设置value和action的值...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
Struts2 S2-057 远程代码执行漏洞(CVE-2018-11776)
玄道的网安博客
06-30 842
影响环境 Struts<= Struts 2.3.34, Struts 2.5.16 环境搭建 cd vulhub/struts2/s2-057 docker-compose up -d 启动环境后,访问http://your-ip: 8080/show/,您将看到Struts2测试页面。 利用 S2-057要求具备以下条件: action元素没有设置名称空间属性,或者使用了通配符 名称空间将由用户从uri传递并解析为OGNL表达式,最终导致远程代码执行漏洞。 Pa..
漏洞解析及复现(CVE-2018-11776
zkaqlaoniao的博客
10-29 647
Struts2是一款基于Java开发的框架,web路径下会出现两种特殊的文件格式,即*.action文件与*.jsp文件;它是基于MVC设计模式的Web应用框架,相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。由于在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符namespace,可能导致远程代码执行。
Apache Struts 2 CVE-2018-11776漏洞利用工具指南
gitblog_00513的博客
09-01 859
Apache Struts 2 CVE-2018-11776漏洞利用工具指南 struts-pwn_CVE-2018-11776 An exploit for Apache Struts CVE-2018-11776项目地址:https://gitcode.com/gh_mirrors/st/struts-pwn_CVE-2018-11776 项目介绍 该项目Struts-pwn是针对Apach...
Apache Struts2高危漏洞(S2-057CVE-2018-11776
weixin_33835103的博客
09-03 277
花了两天时间,特此记录 一:背景: 2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞。 二:漏洞产生原理: 1.需要知道对应跳转请求的action名称 2.Struts2框架中的属性设置为: 1) struts.mapper.alwaysSelectFullNamespace = true 2) type...
【vulhub】structs2远程命令执行 CVE-2018-11776(S2-057)
weixin_42884199的博客
12-06 628
前提 1、alwaysSelectFullNamespace被设置为true,此时namespace的值是从URL中获取的。URL是可控的,所以namespace也是可控的。 2、action元素没有名称空间属性集,或者使用通配符。该名称空间将由用户从URL传递并解析为OGNL表达式,最终导致远程代码执行的脆弱性。 一、启动靶机 docker-compose build docker-compose up -d 二、构造payload URL: http://192.168.150.146:8080/s
Apache Struts 2漏洞分析(CVE-2018-11776/S2-057)
weixin_42998420的博客
10-22 972
概述 定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。 url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。 官方解决方案 升级至版本2.3.35或2.5.17。这两个版本仅仅只是更新了安全补丁,不存在兼容性问题。 临时解...
Struts2-057/CVE-2018-11776两个版本RCE漏洞分析(含EXP)
weixin_34163741的博客
12-31 212
0x01 前言 2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(S2-057/CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置...
struts2 代码执行(CVE-2018-11776)漏洞复现 vulfocus夺旗
muhan的博客
04-15 4924
1、启动环境:直接vulfocus搜索cve编号启动,并访问环境ip地址 2、判断是否有漏洞: 使用特定payload拼接url,访问抓包 ip地址/struts2-showcase/$%7B233*233%7D/actionChain1.action 利用BurpSuite抓包并改包,Go得到下图所示结果,说明存在漏洞。可以看到,233X233的结果已经在Location头中返回 3、构造POC,替换掉请求内容 原始poc: ${(#dm=@ognl.OgnlContext@DEFAULT
Apache struts2 namespace远程命令执行CVE-2018-11776(S2-057)漏洞复现
Jerry____的博客
12-17 405
一:漏洞介绍 S2-057漏洞产生于网站配置xml的时候,有一个namespace的值,该值并没有做详细的安全过滤导致可以写入到xml上,尤其url标签值也没有做通配符的过滤,导致可以执行远程代码以及系统命令到服务器系统中去 。 二:影响版本 Apache Struts 2.3 – Struts 2.3.34 Apache Struts 2.5 – Struts 2.5.16 三:环境搭建 1、利...
Apache Struts CVE-2018-11776 利用工具项目常见问题解决方案
gitblog_00537的博客
01-18 388
Apache Struts CVE-2018-11776 利用工具项目常见问题解决方案 struts-pwn_CVE-2018-11776 An exploit for Apache Struts CVE-2018-11776 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值