信息來源:比特網
還記得4月15號,安恒信息在Struts 2上發(fā)現了一個嚴重的遠程代碼執(zhí)行漏洞(CVE-2016-3081)����,并已給出詳實分析及修復辦法。隨后,Apache Struts2官方又發(fā)布安全公告:Apache Struts2 服務在開啟動態(tài)方法調用的情況下可以遠程執(zhí)行任意命令��。
這是自2013年Struts2(s2-016)命令執(zhí)行漏洞大規(guī)模爆發(fā)之后����,該服務時隔三年再次爆發(fā)大規(guī)模漏洞。該漏洞也是爆出的最嚴重安全漏洞�。黑客利用該漏洞,可對企業(yè)服務器實施遠程操作�����,從而導致數據泄露�����、遠程主機被控�����、內網滲透等重大安全威脅���。
而一個漏洞的應對,從發(fā)現到解決絕非一蹴而就�����。在6月3日,據悉安恒信息對Struts2 S2-033漏洞分析發(fā)現:最新高危漏洞官方修復方案無效����。當安恒信息工程師在分析github上的修復的版本Struts 2.3.20.3, Struts 2.3.24.3 or Struts 2.3.28.1時,發(fā)現跟之前版本并沒有多大改動��,立即查看Struts2 2.5版本的提交紀錄�����,發(fā)現一條更新紀錄����。這條更新過濾了struts2-rest插件中RestActionMapper.java的handleDynamicMethodInvocation中的actionMethod屬性,但是分析到安全公告中的修復版本根本對這個漏洞未做任何修補����。
漏洞發(fā)生后,各安全廠商紛紛忙碌起來�。安恒信息更是在第一時間采取應措施。對Apache發(fā)布Struts2 S2-033遠程代碼執(zhí)行漏洞的修復方案經過安恒研究院研究人員的測試��,確認該修復方案并不完整��,依然會導致惡意攻擊者對Struts2應用發(fā)起遠程代碼執(zhí)行攻擊,并對外發(fā)布緊急預警提示����。發(fā)現此次Struts2漏洞修復方案無效的就是安恒信息技術高手“Nike.zheng”,此前4月份,就是他就曾向Apache官方提交了Struts 2高危安全漏洞(CVE-2016-3081,S02-32)�����,并受到來自官方的回復及感謝�����。
面對此次Struts2 S2-033漏洞修復方案并不完整�����,安恒信息安全工程師詳實的記錄下分析漏洞的情況���,并已給出了相應的防護方案:
客戶可以使用明鑒web應用弱點掃描器和網站安全監(jiān)測平臺在線更新策略來檢測是否自身應用存在漏洞,WAF產品可以有效防護本次漏洞;同時也可以使用在線檢測0day.websaas.com.cn進行檢測���。
而除了進行升級修復外����,面對防不勝防的漏洞威脅,安恒信息提醒廣大開發(fā)者及用戶�,接入專業(yè)的第三方安全服務機構進行專業(yè)的安全防護將可能是更為有效有保障的選擇。據悉�����,安恒信息風暴中心分別提供網絡空間安全態(tài)勢感知服務可及時提供提供預警通報��,“玄武盾”云安全防護服務第一時間進行0day漏洞防護�����,以及一站式"安恒云"平臺服務�,應對大數據時代下云的一體化安全防護,提供與時俱進的全面解決方案���。
安恒信息作為云安全��、應用安全��、大數據安全和智慧城市安全等前沿領域的領導品牌�����、全球網絡安全500強企業(yè)�,再是事件后表示:在未來,秉承企業(yè)“務實��,創(chuàng)新”精神�,持續(xù)為客戶提供擁有自主知識產權的信息安全產品和高品質的信息安全服務,時刻保護用戶的數據信息安全�。
