熱門開源框架Apache Struts又被曝存在遠程代碼執行漏洞(高危),漏洞編號CVE-2017-9805,S2-052,再一次沒有辜負其“萬年漏洞王”的美名。
Semmle研究人員發現了這個高危漏洞,該漏洞一旦被黑客利用可輕易控制受影響的服務器,危及公司的敏感數據安全。攻擊者利用該漏洞可在使用REST插件運行應用程序的服務器上遠程執行代碼。即當用戶使用帶有 XStream 程序的 Struts REST 插件來處理 XML payloads 時,可能會遭到遠程代碼執行攻擊。
受影響的版本研究人員指出,自2008年以來的所有Struts版本(Structs 2.5-Struts 2.5.12)均受到影響。
財富100強公司使用Apache Struts提供Java Web應用程序,并支持前端與后端應用程序。LGTM安全研究員Man Yue Mo表示,許多可公開訪問的Web應用程序都在使用Struts,例如航班訂票系統和網上銀行系統,這種情況下,黑客通過Web瀏覽器就能加以利用。
Semmle產品經理Bas van Schaik表示,要利用該漏洞輕而易舉。如果了解要發送的請求,就能在運行漏洞應用程序的Web服務器上啟動任何進程。
Mo指出,Struts2 REST插件使用帶有XStream程序的XStream Handler進行未經任何代碼過濾的反序列化操作,這可能在反序列化XML payloads時導致遠程代碼執行。攻擊者可利用該漏洞在受影響的Structs服務器上運行任何命令,甚至在防火墻后運行。van Schaik表示,如果服務器包含客戶或用戶數據,要收集數據并轉移至別處將是輕而易舉的事情。攻擊者還能將該服務器作為進入網絡其它領域的切入點,有效繞過公司防火墻,并獲得其它屏蔽領域的訪問權。
此外,攻擊者還能利用該漏洞找到憑證,連接到數據庫服務器提取所有數據。更糟糕的是,攻擊者還能悄悄刪除數據,遭遇攻擊的組織機構甚至會毫無察覺,當發現時已為時已晚。
財富500強中有65%的企業受影響安全研究人員開發了一個簡單有效的漏洞利用,但目前尚未發布,意在為公司留出時間修復系統。van Schaik稱目前未發現漏洞被利用的情況,但在漏洞細節公開后幾個小時之內可能就會被利用。
受影響的企業及機構源代碼修復程序幾周前已發布,Apache周二也發布了補丁,但許多未修復系統的公司仍會遭受攻擊。
使用Apache Struts框架搭建 Web 應用的機構及企業包括——花旗集團、美國國家稅務局、加州機動車輛局在內的政府官網以及大型跨國公司英國維珍大西洋航空公司、英國電信企業沃達豐等。這些還只是“冰山一角”,此次漏洞影響范圍或許相當廣泛,相關企業應當給予重視。
Redmonk行業分析師芬坦·瑞恩表示,Struts通常用于維護或加強現有應用程序,根據企業使用Struts的情況統計得出,財富500強中有65%的企業潛在受該漏洞影響。
相關解決方案van Schaik指出,除了公開披露漏洞,升級Struts組件之外,目前別無他法。
解決方案:
在不使用時刪除Struts REST插件,或僅限于服務器普通頁面和JSONs:
限制服務器端擴展類型,刪除XML支持。
建議升級到Struts 2.5.13,下載地址請戳!
京公網安備 11010502049343號