Struts2又現嚴重安全漏洞

文/鄭先偉

8月Apache旗下的Struts2框架又曝出存在嚴重的安全漏洞，允許攻擊者利用漏洞遠程控制Web服務器。Struts2是一個基于MVC設計模式的Web應用框架，在Web應用中負責處理接收用戶數據，調用業務處理，以及展示數據的工作。Struts2是目前世界上使用最為廣泛的應用框架之一，大量的大型業務網站都是在這個框架基礎上搭建的。由于Struts2功能復雜，其在實現過程中存在的漏洞風險較多，且多數屬于高危漏洞。有數據顯示，互聯網上發生的多起大規模用戶信息泄漏事件均與Struts2漏洞有關，我們統計的高校網站安全事件數據也顯示，不少網站是因為存在Struts2漏洞而被攻擊的。因此我們建議學校在開發新業務系統時注意，如果不能保證持續的技術開發和維護投入，就不要選擇Struts2框架作為開發框架。

高招期間，與網站有關的安全事件數量呈增多趨勢。

近期沒有新增需要關注的木馬病毒。

近期新增嚴重漏洞評述：

1.微軟8月的例行安全公告修復了其多款產品存在的155個安全漏洞。受影響的產品包括Windows 10 v1803 and Server 2016（24個）、Windows 10 v1709（24個）、Windows 10 v1703（22個）、Windows 8.1 and Windows Server2012 R2（14個）、Windows Server 2012（12個）、Windows 7 and Windows Server 2008R2（16個）、Windows Server 2008（12個）、Internet Explorer（9個）、Microsoft Edge（16個）和Microsoft Office（6個）。建議用戶應該盡快使用Windows自動更新功能進行補丁更新。

2.Adobe公司8月的安全公告中有兩個需要關注，一是針對Flash player軟件的安全公告（https://helpx.adobe.com/security/products/flash-player/apsb18-25.html），另一個則是針對Adobe Acrobat/Reader軟件的公告（https://helpx.adobe.com/security/products/acrobat/apsb18-29.html）。前者涉及Flash Player軟件的五處安全漏洞，后者涉及Acrobat/Reader軟件的兩處安全漏洞，利用這些漏洞，攻擊者可以在目標系統上遠程執行任意代碼或是拒絕服務攻擊。用戶可以選擇啟用相關軟件的自動更新功能來進行版本更新，也可以到官網手動下載最新的版本進行安裝。

2018年7～8月安全投訴事件統計

3.本月Apache Struts2發布公告（S2-057）顯示其 Struts2框架中存在遠程代碼執行漏洞（影響版本：Apache Struts2 >=2.3，<=2.3.34、Apache Struts2>=2.5，<=2.5.16）。漏洞在下列兩種情況下可被促發：一是系統定義XML配置時namespace值未被設置且上層動作配置（Action Configuration）中未設置或用通配符命名空間值。第二種情況是url標簽未設置value和action值且上層動作未設置或用通配符命名空間值。滿足上述條件之一攻擊者就可利用漏洞執行RCE攻擊，一旦攻擊成功，攻擊者可以以服務程序的權限執行任意命令。建議使用了相關框架的管理員盡快升級Struts2的版本。用戶可以參考公告中提示的方法進行更新及修補：https://cwiki.apache.org/confluence/display/WW/S2-057?tdsourcetag=s_pcqq_aiomsg

安全提示

Struts2的漏洞作為一種頑疾一直存在學校的部分網站中，究其原因主要還是因為這些網站缺乏專業的技術維護，后期的維護人員可能根本不清楚自己維護的網站的是基于Struts2搭建的，因此導致相關漏洞長期存在。針對這種情況，建議學校對所轄范圍內的網站及業務系統進行資產摸底及登記，對網站所使用的系統及基礎構架進行登記備案，并對使用了Struts2框架的網站持續跟蹤關注。