隨著蘋果開發者網站的淪陷,已經曝光一周的Apache Struts2漏洞再次成為熱門話題,今天有消息稱由于該漏洞被利用,淘寶的數據庫已經被盜,盡管淘寶官方否認了這一說法,但是從烏云漏洞平臺的報告看,該漏洞已經波及到了包括京東、淘寶等在內的大型網站。
Struts 2應用范圍有多廣?此次漏洞有多嚴重?哪些網站受到了波及?可怕在哪里?網易科技請教了多名安全界人士,對該漏洞進行詳細解讀。
1、什么是Struts 2漏洞?
Struts 是Apache軟件基金會(ASF)贊助的一個開源項目,通過采用JavaServlet/JSP技術,實現基于Java EEWeb應用的MVC設計模式的應用框架,Struts 2是Struts的下一代產品,是在 struts 1和WebWork的技術基礎上進行了合并的全新的Struts 2框架。
Struts框架廣泛應用于政府、公安、交通、金融行業和運營商的網站建設,作為網站開發的底層模板使用。
此次爆發的漏洞是Struts 2的一個遠程執行漏洞,利用這個漏洞,攻擊者可以上傳后門,黑掉一個網站或者盜取用戶數據庫。
2、為什么此次Struts 2漏洞影響巨大?
第一,Apache官方在漏洞公告中直接把漏洞利用代碼公開了,這是一個令人震驚的做法,因為在公布之前還有很多網站沒有及時打上補丁。公布后該漏洞瘋狂傳播,并出現了直接利用該漏洞進行入侵的傻瓜工具,一些未及時更新補丁的網站被入侵。
第二,Apache Struts 2是一個應用框架,它的漏洞并不像Windows一樣,及時發個補丁推送給用戶,更新了就沒事了,而是需要站長和網站維護人員自己去更新這個補丁,國內并不是每個網站的技術人員都會第一時間注意并更新這個漏洞。
第三,在漏洞被公布后黑客們為了展示“戰果”,把大量存在漏洞的網站公布在第三方平臺上,很多之前沒有關注到該漏洞的黑客們開始關注并尋找漏洞。
3、哪些網站中招了?
烏云漏洞平臺最新確認的漏洞名單中,中國電信、中國聯通等運營商部分分站,中科院、工信部、交通部、中國郵政等部分站點,以及騰訊、淘寶、搜狐等大型互聯網公司的部分分站均在列,不過很多分站并不涉及數據庫。
中招的不止是國內網站,蘋果開發者網站“宕機”5天后,蘋果也終于承認是遭到入侵,業內猜測可能是由于Stuts2漏洞,隨后Ubuntu的開發者社區也被黑,182萬用戶數據被盜,盡管數據已經加密,仍然存在一定安全隱患。
此次受影響最嚴重的是京東,在烏云平臺上有十幾個漏洞被提交,涉及的站點包括奢侈品站360Top、彩票頁面、充值頁面、支付成功頁面等。
4、波及的網站包括一些銀行網站和淘寶等電商網站,對用戶而言是不是很危險?
此次波及的網站中有一部分銀行的分站,并不涉及數據庫,不過如果是存在登錄功能,則黑客可以通過掛馬的方式在用戶登錄過程中盜取銀行賬號和密碼,所以還是有一定危險性。
淘寶網今天發布聲明否認了漏洞被利用的說法。淘寶確實在一些非常邊緣的站點使用過Stuts 2框架,但是后來開發了自己的框架,主要業務并沒有受到影響。
5、是否已經有網站被拖庫?
拖庫是指將從數據庫導出數據,各大網站通常會將數據庫進行加密,黑客會將這些數據庫破解并獲得數據。
目前還沒有確切證據標明已經有大型網站的數據庫被拖庫,黑市上也沒有新的數據庫出現,因為漏洞公開時間不長,影響可能要到幾個月后才會顯現。
6、業內傳言
(1)、黑客很忙。很多黑客此前已經掌握了一些網站的漏洞,并獲取了權限,此次Struts漏洞泄露后,為了防止其他黑客通過該漏洞也獲得這些網站的權限,這些黑客會主動去修復“肉雞”的漏洞,一方面另一波黑客要爭取搶在漏洞被修復前完成入侵,于是雙方展開了攻防戰,在這期間很多網站發現其漏洞被“自動修復”。
(2)、Apache作惡。有黑客稱自己在5月份已經發現兩個遠程執行漏洞,提交后Apache官方只是出了一個生命確認了該漏洞,但是并未發布補丁。這已經不是Struts第一次出現漏洞,但是官方對于安全問題的處理簡單粗暴,甚至需要修補多次才能修好,此次更是“奇葩”到直接公布了漏洞的利用方法。
盡管目前官方發布了補丁,不過按照此前的經驗,該補丁是否可以徹底消除安全隱患還有待觀察。
京公網安備 11010502049343號