Struts2漏洞为互联网带来严重安全风险

http://www.cac.gov.cn/2014-04/30/c_1112077812.htm

Struts2漏洞为互联网带来严重安全风险

2014年04月30日 14:37:50 来源： 工业和信息化部

分享到： 0

   【打印】  【纠错】

    4月23日，国外安全研究人员发现Apache Struts2 CVE-2014-0094的漏洞补丁中存在严重缺陷，能够被轻易绕过，可导致应用Struts架构的大量互联网服务器遭受DDoS攻击、远程服务器控制等致命威胁。目前，该漏洞尚无彻底的修复方法，且由于新闻炒作和漏洞利用代码的大量扩散，我国国内众多政府、门户、电商、金融机构、运营商等大型网站都面临恶意攻击。

    一、漏洞成因

    根据国家信息安全漏洞共享平台（CNVD）分析，Apache Struts 2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本，其附加的ParametersInterceptor允许访问 'class' 参数（该参数直接映射到getClass()方法），并允许控制ClassLoader。在具体的Web容器部署环境下（如：Tomcat），攻击者利用Web容器下的Java Class对象及其属性参数（如：日志存储参数），可向服务器发起远程代码执行攻击，进而植入网站后门控制网站服务器主机。

    目前，已经验证的测试案例表明Tomcat服务器易被发起拒绝服务或远程渗透攻击，同时CNVD认为ClassLoader安全绕过漏洞可进一步涉及部署其他Web容器的网站服务器。

    二、漏洞影响

    该漏洞影响范围广泛，涉及大量政府、门户、电商和银行等网站，可能导致这些网站遭受数据泄露、DDoS攻击和远程服务器控制。目前，该漏洞尚无彻底的修复方法，且由于新闻炒作和漏洞利用代码的大量扩散，潜在影响严重。

    1.大量政府、门户、电商和银行等网站面临严重安全威胁。由于Struts架构广泛应用于政府、大型互联网企业、金融机构等网站建设，并作为网站开发的底层框架使用，所以此次补丁绕过漏洞可能使大量政府、门户、电商、银行等网站遭受恶意攻击。根据CERT CNVD 对全网及教育网内的18043个活跃网站进行漏洞检测，其中有1620个网站存在漏洞，漏洞率达到8.9%。

    电商、银行、门户、政府等网站一旦被黑客攻破，可能面临两种恶意攻击：电商、银行等网站，很容易导致用户帐号密码丢失；门户、政府网站由于在用户心中可信度较高，很容易被不法分子利用，通过发布钓鱼欺诈链接诱使网民受骗。

    2.该漏洞能导致数据泄露、DDoS攻击和远程服务器控制。Struts2漏洞影响巨大，黑客可利用该补丁绕过漏洞对远程目标服务器执行任意系统命令，轻则窃取网站数据信息，严重的可取得网站服务器控制权，构成信息泄露和运行安全威胁。

    3.该漏洞呈扩散趋势，潜在影响严重。目前，该漏洞尚无彻底的修复方法，且由于新闻炒作和漏洞利用代码的大量扩散，攻击者可能通过该漏洞作为突破口渗透进入政府和企业内部网络长期蛰伏，不断收集各种信息，直到收集到重要情报，我国国内众多政府、互联网企业、金融机构、运营商等大型网站都面临严重的潜在影响。

    三、漏洞应对

    我国的国家信息安全漏洞共享平台（CNVD）和中国国家信息安全漏洞库（CNNVD）都已发布漏洞详细信息，CNVD还给出了漏洞处置措施和建议。

    美国计算机应急准备小组（US-CERT）也发布了相应漏洞公告（Apache Struts2 ClassLoader allows access to class properties via request parameters）。

    Apache Struts2官方在GitHub上对该漏洞做出了修正，然而官方给出的补丁仍然存在漏洞，可被绕过，所以目前尚无针对该漏洞的修补方案。

    我国国内多个安全企业也发布了漏洞消息并提供了安全建议：启明星辰提供了代码修改的安全建议，天融信发布了漏洞补丁，360安全中心发布应急修复方案和Struts2漏洞的在线检测方案，南京翰海源公司和瑞星公司提供临时解决方案。

    四、漏洞炒作

    我国两大漏洞库发布该漏洞后，新闻网站、新浪微博、技术论坛和公司网站等对该漏洞进行了大量转载，新浪微博上相关微博达到3.1万多条，甚至一些网站还发布或转载漏洞利用代码。

    1.发布或转载该漏洞的综合及专业新闻网站包括：环球科技网、搜狐网、MSN中文网、北方网、51CTO、IT168、比特网、通信世界网、ZDNet网站、中国信息安全博士网、红黑联盟等。

    2.发布或转载该漏洞的论坛包括：FreeBuf网站、红联社区、开源中国社区、安全联盟官方论坛等。

    3.发布漏洞信息和安全建议的公司网站包括：启明星辰、翰海源公司、绿盟科技、知道创宇、天融信、阿里云论坛、奇虎360公司、瑞星、腾讯、百度加速乐、安恒信息网等。

    4.一些网站还发布或转载漏洞利用代码。翰海源公司在Apache struts2 0day预警中描述了绕过该漏洞的方式，只对某些代码进行了遮挡；乌云网个人博客详细描述了Struts2 s2-020 DDOS和远程命令执行漏洞的细节；nxadmin网对补丁绕过方法进行了猜测，给出了DDos利用方法、远程命令执行方法；黑吧安全网在分析该漏洞的同时也列出了漏洞绕过代码；PHP toJava网站、黑客技术网和缘分技术论坛对漏洞利用代码等信息进行了转载。

    工业和信息化部电子科技情报研究所网络与信息安全研究部

转载于:https://www.cnblogs.com/leeeee/p/7276086.html