Apache Struts2 Web應用框架再現嚴重安全漏洞

文/鄭先偉

5月教育網整體運行平穩，未發生重大安全事件。隨著高考的臨近，教育網內各院校的Web服務器又將成為黑客攻擊的重點。與以往不同的是，這些被攻擊并控制的網站很多已經改變了用途，不再是用來進行網頁掛馬攻擊，而是被用來進行更高級的社會工程學攻擊（如網絡釣魚）。每年高考招生時都會出現大量的虛假招生廣告，一旦這些虛假招生廣告出現在學校官方網站上，上當受騙的人將會大大增加。因此要謹防黑客利用這些被控制的學校網站服務器進行類似的社會工程學攻擊，建議廣大網站管理員近期加大對學校網站服務器的安全排查，并對網站的內容進行監管。

近期我們又協助工信部CNCERT處理了一批教育網內的木馬下載服務器，這些服務器大多數依然是二級學院或是獨立學院的主頁服務器，值得注意的是很多居然是計算機系或是電子系的主頁。說明出現上述問題的網站的安全難點并非在技術而是管理。

病毒與木馬

近期沒有特別需要關注的病毒木馬程序，流行較多的還是一些盜號類的下載木馬。

2013年5月安全投訴事件統計

近期新增嚴重漏洞評述

微軟5月的例行安全公告共10個（MS13-037至MS13-046)，其中2個為嚴重等級，8個為重要等級，這些公告共修補了包括Windows系統、IE瀏覽器、Office辦公軟件以及.NET組件中的33個安全漏洞。其中特別需要關注的是MS13－ 037和 MS13－ 038，MS13－ 037為IE瀏覽器的累積性修補補丁，而MS13－038則是專門為IE瀏覽器8版本增發的一個安全公告，它修補了IE瀏覽器8版本中的一個0day漏洞（CVE-2013-1347），該漏洞今年4月底被公布到互聯網上。有消息稱此漏洞曾被用來攻擊了美國勞工部，這類高級攻擊跟普通用戶關系不大，但是一旦相關的漏洞信息被披露后就可能被制作成木馬程序進行大面積攻擊，因此建議用戶盡快安裝相應的補丁程序。

除微軟以外，Adobe公司也按時發布了5月的例行安全公告，共3個（apsb13-13到apsb13-15），這些漏洞修補了Flash player軟件（http://www.adobe.com/support/security/bulletins/apsb13-14.html）和Adobe Acrobat/Reader軟件（http://www.adobe.com/support/security/bulletins/apsb13-15.html）中的多個安全漏洞，用戶應該盡快更新相關軟件。

需要特別引起用戶關注的是Apache的Struts2框架再次曝出遠程代碼執行漏洞（CVE-2013-1966），本次曝出的漏洞雖然較2012年流行的Struts2系統漏洞在利用難度上有所增加，但是其所涉及的系統和版本更為廣泛，并且利用的成功率更高。廠商在5月23日發布了相應的安全公告（https://cwiki.apache.org/confluence/display/WW/S2-013）和新的版本（Struts 2.3.14.1）來修補該漏洞，不過根據國內安全廠商綠盟的測試漏洞在這個版本中并未被完全修補，之后廠商采納了建議并重新發布了安全公告（https://cwiki.apache.org/confluence/display/WW/S2-014）和新的版本（Struts 2.3.14.2），將漏洞進行了較完善的修補。建議管理員盡快檢查自己的Web服務器是否使用了Struts2功能模塊，如果有請盡快升級到最新版本（Struts 2.3.14.2）。