事件回顧:
2013年7月17日被許多人稱之為中國互聯網安全災難日。這一天,成為許多安全運維、黑客的不眠之夜……
此前,據烏云漏洞報告平臺、SCANV網站安全中心等安全機構發出的紅色警報顯示:世界知名開源軟件Struts2再曝高危漏洞,該漏洞影響到struts2.0-2.3.15版本,可直接導致服務器被遠程控制,引起數據泄漏。這些漏洞可使黑客取得網站服務器的“最高權限”,從而使企業服務器變成黑客手中的“肉雞”。
Struts 2漏洞一石激起千層浪
Strut是Apache基金會Jakarta項目組的一個開源項目,其采用MVC 模式,幫助java開發者利用J2EE開發 Web 應用。Struts通過采用Java Servlet/JSP技術,實現了基于Java EE Web應用的Model-View-Controller(MVC)設計模式的應用框架,目前,Struts廣泛應用于大型互聯網企業、政府、金融機構等網站建設,并作為網站開發的底層模板使用
Struts2已經并非第一次曝出高危漏洞,其在今年5月底發布的Struts 2.3.14.2版本、6月初發布的2.3.14.3版本,都修復了相關的漏洞,而這些漏洞都可能導致執行遠程命令、訪問/控制會話以及發起XSS攻擊等。
然而以往的這些Struts2漏洞,都沒有引起如此次這般巨大的影響。據360安全專家石曉虹博士介紹,由于Struts2屬于底層框架,其漏洞影響范圍廣、利用難度低,利用該漏洞,“菜鳥”也可以使用攻擊工具直接控制網站服務器,盜取用戶數據庫,獲取網站注冊用戶的帳號密碼和個人資料。
與此同時,網絡上已開始出現一些自動化、傻瓜化的Stuts2漏洞攻擊軟件,只要在軟件中填寫存在Struts 2漏洞的網站地址,即可直接執行服務器命令,讀取網站數據或讓服務器關機等操作。
相關安全機構也紛紛在第一時間發布Stuts2漏洞的相關信息分析及漏洞補丁下載地址,力圖將漏洞損失控制到最小范圍。
然而,據烏云平臺的數據顯示:本次爆發的Struts漏洞影響巨大,受影響站點以電商、銀行、門戶、政府居多。國內數十個知名網站已經被發現受該漏洞影響,包括電信、移動、百度、騰訊、京東商城等網站的分站。而蘋果官方也在今天向開發者發出郵件稱,其開發者網站(developer.apple.com)遭到入侵,部分開發者信息可能已被泄露。有關安全專家認為,此次入侵或與此次爆發的Apache Struts2漏洞有關。雖然目前尚不清楚蘋果被入侵的真正原因以及影響,但如果其真的與Struts2漏洞有關,一場全球性的互聯網安全危機或將到來。
京公網安備 11010502049343號