Struts2插件高危漏洞S2-052波及半数以上财富500强企业

2017 年 9 月 6 日 E安全 E小编

E安全9月7日讯 热门开源框架Apache Struts又被曝存在远程代码执行漏洞(高危),漏洞编号CVE-2017-9805,S2-052,再一次没有辜负其“万年漏洞王”的美名。

Semmle研究人员发现了这个高危漏洞,该漏洞一旦被黑客利用可轻易控制受影响的服务器,危及公司的敏感数据安全。攻击者利用该漏洞可在使用REST插件运行应用程序的服务器上远程执行代码。即当用户使用带有 XStream 程序的 Struts REST 插件来处理 XML payloads 时,可能会遭到远程代码执行攻击。

受影响的版本


研究人员指出,自2008年以来的所有Struts版本(Structs 2.5-Struts 2.5.12)均受到影响。

财富100强公司使用Apache Struts提供Java Web应用程序,并支持前端与后端应用程序。LGTM安全研究员Man Yue Mo表示,许多可公开访问的Web应用程序都在使用Struts,例如航班订票系统和网上银行系统,这种情况下,黑客通过Web浏览器就能加以利用。

Semmle产品经理Bas van Schaik表示,要利用该漏洞轻而易举。如果了解要发送的请求,就能在运行漏洞应用程序的Web服务器上启动任何进程。

Mo指出,Struts2 REST插件使用带有XStream程序的XStream Handler进行未经任何代码过滤的反序列化操作,这可能在反序列化XML payloads时导致远程代码执行。攻击者可利用该漏洞在受影响的Structs服务器上运行任何命令,甚至在防火墙后运行。van Schaik表示,如果服务器包含客户或用户数据,要收集数据并转移至别处将是轻而易举的事情。攻击者还能将该服务器作为进入网络其它领域的切入点,有效绕过公司防火墙,并获得其它屏蔽领域的访问权。

此外,攻击者还能利用该漏洞找到凭证,连接到数据库服务器提取所有数据。更糟糕的是,攻击者还能悄悄删除数据,遭遇攻击的组织机构甚至会毫无察觉,当发现时已为时已晚。

财富500强中有65%的企业受影响


安全研究人员开发了一个简单有效的漏洞利用,但目前尚未发布,意在为公司留出时间修复系统。van Schaik称目前未发现漏洞被利用的情况,但在漏洞细节公开后几个小时之内可能就会被利用。

受影响的企业及机构

源代码修复程序几周前已发布,Apache周二也发布了补丁,但许多未修复系统的公司仍会遭受攻击。

使用Apache Struts框架搭建 Web 应用的机构及企业包括——花旗集团、美国国家税务局、加州机动车辆局在内的政府官网以及大型跨国公司英国维珍大西洋航空公司、英国电信企业沃达丰等。这些还只是“冰山一角”,此次漏洞影响范围或许相当广泛,相关企业应当给予重视。

Redmonk行业分析师芬坦·瑞恩表示,Struts通常用于维护或加强现有应用程序,根据企业使用Struts的情况统计得出,财富500强中有65%的企业潜在受该漏洞影响。

相关解决方案


van Schaik指出,除了公开披露漏洞,升级Struts组件之外,目前别无他法。

解决方案:

  • 在不使用时删除Struts REST插件,或仅限于服务器普通页面和JSONs:

  • 限制服务器端扩展类型,删除XML支持。

  • 建议升级到Struts 2.5.13,下载地址:http://t.cn/RpPKouS

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1423059826.shtml

相关阅读:

点击阅读原文查看更多精彩内容

登录查看更多
0

相关内容

java开发框架
AI创新者:破解项目绩效的密码
专知会员服务
33+阅读 · 2020年6月21日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
德勤:2020技术趋势报告,120页pdf
专知会员服务
190+阅读 · 2020年3月31日
Gartner:2020年十大战略性技术趋势, 47页pdf
专知会员服务
76+阅读 · 2020年3月10日
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
【德勤】中国人工智能产业白皮书,68页pdf
专知会员服务
301+阅读 · 2019年12月23日
IBM《人工智能白皮书》(2019版),12页PDF,IBM编
专知会员服务
20+阅读 · 2019年11月8日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
VS Code Remote发布!真·远程开发
开源中国
6+阅读 · 2019年5月3日
向「假脸」说 No:用OpenCV搭建活体检测器
机器之心
8+阅读 · 2019年4月11日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
ofo商业模式破产
1号机器人网
6+阅读 · 2019年1月29日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
Arxiv
7+阅读 · 2018年3月19日
Arxiv
4+阅读 · 2017年11月4日
Arxiv
5+阅读 · 2015年9月14日
VIP会员
相关VIP内容
AI创新者:破解项目绩效的密码
专知会员服务
33+阅读 · 2020年6月21日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
德勤:2020技术趋势报告,120页pdf
专知会员服务
190+阅读 · 2020年3月31日
Gartner:2020年十大战略性技术趋势, 47页pdf
专知会员服务
76+阅读 · 2020年3月10日
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
【德勤】中国人工智能产业白皮书,68页pdf
专知会员服务
301+阅读 · 2019年12月23日
IBM《人工智能白皮书》(2019版),12页PDF,IBM编
专知会员服务
20+阅读 · 2019年11月8日
相关资讯
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
VS Code Remote发布!真·远程开发
开源中国
6+阅读 · 2019年5月3日
向「假脸」说 No:用OpenCV搭建活体检测器
机器之心
8+阅读 · 2019年4月11日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
ofo商业模式破产
1号机器人网
6+阅读 · 2019年1月29日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
Top
微信扫码咨询专知VIP会员