关于Apache Struts2 框架:
Apache Struts2 框架是在Struts 和WebWork的技术基础上进行了合并后的全新框架。其全新的Struts 2的体系结构与Struts 1的体系结构的差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开,所以Struts 2可以理解为WebWork的更新产品。Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用,目前大量开发者利用J2ee 开发 Web 应用的时候都会利用这个框架。
Apache Struts2 框架最早于2010年7月14日被发现存在一个严重命令执行漏洞,但随之出现了防范技术,最近随着近期Struts2带回显功能的POC被公布,出现大量的利用工具,并导致大量使用此框架的网站沦陷,并呈扩散趋势。据第三方安全问题反馈平台"乌云"上白帽子的提交来看,国内已有上百个大型网站(主要包括政府、金融、运营商、企业等)存在被该漏洞利用的风险,被骇客恶意攻击的网站不计其数。目前安恒信息的安全产品均能检测和防护该漏洞,彻底阻断骇客的恶意攻击。
图:Struts2远程执行漏洞在第三方安全问题反馈平台WOOYUN的不完全统计情况
如果说"震网"病毒和"火焰"病毒是对信息系统造成了很大的冲击,那么现在的"Struts2漏洞"就是针对互联网社会公共安全的一次挑战。经安恒信息安全人员分析,由于Struts2漏洞的利用工具已经大面积散播,导致恶意攻击者的攻击成本和时间大大降低,攻击者只需要在利用工具中填入存在漏洞的网址或IP,即可自动执行并获取网站权限,未来很可能会成为恶意攻击和信息窃取的主要攻击目标。特别是政府、公安、交通、金融和运营商等尤其需要重视该漏洞,这些单位和机构需要非常重视信息安全保密工作,敏感信息的泄漏有可能对国家造成沉重的打击,甚至会违反相关的法律规定。在最近几年APT攻击横行的时期,骇客早也不再以挂黑页炫耀为目的,攻击者可能通过该漏洞作为突破口渗透进入其内部网络长期蛰伏,不断收集各种信息,直到收集到重要情报。请记住,在如今的互联网时代,只要是能换成钱的东西,骇客们都愿意尝试,其中更不乏诸多政治骇客(如国际黑客组织Anonymous)。
图:Struts2漏洞利用工具
安恒信息的安全专家提醒目前正在使用Struts框架的网站的管理员,目前Aapche官方已经在Struts 2.2.0版本中修复了这个安全问题。由于struts 2.2.0仍然存在其他安全问题,建议用户请尽快升级到当前最新版本2.3.4。另外,在修补漏洞的同时千万不要忘记查看服务器或网站是否已经被入侵,是否存在后门文件等,尽量将损失和风险控制在可控范围内。
安恒信息目前也就针对这种情况升级了明御WEB应用防火墙(WAF)的策略提供防护,同时已经安排了24小时电话紧急值班(400-605-9110),随时协助有需要的客户解决该漏洞。
