信息來(lái)源:比特網(wǎng)
還記得4月15號(hào)���,安恒信息在Struts 2上發(fā)現(xiàn)了一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2016-3081)����,并已給出詳實(shí)分析及修復(fù)辦法。隨后�,Apache Struts2官方又發(fā)布安全公告:Apache Struts2 服務(wù)在開(kāi)啟動(dòng)態(tài)方法調(diào)用的情況下可以遠(yuǎn)程執(zhí)行任意命令�。
這是自2013年Struts2(s2-016)命令執(zhí)行漏洞大規(guī)模爆發(fā)之后����,該服務(wù)時(shí)隔三年再次爆發(fā)大規(guī)模漏洞����。該漏洞也是爆出的最嚴(yán)重安全漏洞。黑客利用該漏洞����,可對(duì)企業(yè)服務(wù)器實(shí)施遠(yuǎn)程操作����,從而導(dǎo)致數(shù)據(jù)泄露、遠(yuǎn)程主機(jī)被控���、內(nèi)網(wǎng)滲透等重大安全威脅����。
而一個(gè)漏洞的應(yīng)對(duì)�����,從發(fā)現(xiàn)到解決絕非一蹴而就�����。在6月3日����,據(jù)悉安恒信息對(duì)Struts2 S2-033漏洞分析發(fā)現(xiàn):最新高危漏洞官方修復(fù)方案無(wú)效����。當(dāng)安恒信息工程師在分析github上的修復(fù)的版本Struts 2.3.20.3, Struts 2.3.24.3 or Struts 2.3.28.1時(shí)����,發(fā)現(xiàn)跟之前版本并沒(méi)有多大改動(dòng),立即查看Struts2 2.5版本的提交紀(jì)錄����,發(fā)現(xiàn)一條更新紀(jì)錄�。這條更新過(guò)濾了struts2-rest插件中RestActionMapper.java的handleDynamicMethodInvocation中的actionMethod屬性,但是分析到安全公告中的修復(fù)版本根本對(duì)這個(gè)漏洞未做任何修補(bǔ)���。
漏洞發(fā)生后,各安全廠商紛紛忙碌起來(lái)�����。安恒信息更是在第一時(shí)間采取應(yīng)措施�。對(duì)Apache發(fā)布Struts2 S2-033遠(yuǎn)程代碼執(zhí)行漏洞的修復(fù)方案經(jīng)過(guò)安恒研究院研究人員的測(cè)試,確認(rèn)該修復(fù)方案并不完整���,依然會(huì)導(dǎo)致惡意攻擊者對(duì)Struts2應(yīng)用發(fā)起遠(yuǎn)程代碼執(zhí)行攻擊,并對(duì)外發(fā)布緊急預(yù)警提示�����。發(fā)現(xiàn)此次Struts2漏洞修復(fù)方案無(wú)效的就是安恒信息技術(shù)高手“Nike.zheng”,此前4月份����,就是他就曾向Apache官方提交了Struts 2高危安全漏洞(CVE-2016-3081,S02-32),并受到來(lái)自官方的回復(fù)及感謝���。
面對(duì)此次Struts2 S2-033漏洞修復(fù)方案并不完整,安恒信息安全工程師詳實(shí)的記錄下分析漏洞的情況�����,并已給出了相應(yīng)的防護(hù)方案:
客戶可以使用明鑒web應(yīng)用弱點(diǎn)掃描器和網(wǎng)站安全監(jiān)測(cè)平臺(tái)在線更新策略來(lái)檢測(cè)是否自身應(yīng)用存在漏洞���,WAF產(chǎn)品可以有效防護(hù)本次漏洞;同時(shí)也可以使用在線檢測(cè)0day.websaas.com.cn進(jìn)行檢測(cè)�。
而除了進(jìn)行升級(jí)修復(fù)外�,面對(duì)防不勝防的漏洞威脅,安恒信息提醒廣大開(kāi)發(fā)者及用戶�,接入專(zhuān)業(yè)的第三方安全服務(wù)機(jī)構(gòu)進(jìn)行專(zhuān)業(yè)的安全防護(hù)將可能是更為有效有保障的選擇�����。據(jù)悉���,安恒信息風(fēng)暴中心分別提供網(wǎng)絡(luò)空間安全態(tài)勢(shì)感知服務(wù)可及時(shí)提供提供預(yù)警通報(bào)�,“玄武盾”云安全防護(hù)服務(wù)第一時(shí)間進(jìn)行0day漏洞防護(hù)���,以及一站式"安恒云"平臺(tái)服務(wù),應(yīng)對(duì)大數(shù)據(jù)時(shí)代下云的一體化安全防護(hù)�,提供與時(shí)俱進(jìn)的全面解決方案。
安恒信息作為云安全��、應(yīng)用安全�����、大數(shù)據(jù)安全和智慧城市安全等前沿領(lǐng)域的領(lǐng)導(dǎo)品牌���、全球網(wǎng)絡(luò)安全500強(qiáng)企業(yè)�����,再是事件后表示:在未來(lái)�,秉承企業(yè)“務(wù)實(shí),創(chuàng)新”精神��,持續(xù)為客戶提供擁有自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)品和高品質(zhì)的信息安全服務(wù)����,時(shí)刻保護(hù)用戶的數(shù)據(jù)信息安全。
