万年漏洞王Struts2插件再现高危漏洞S2-052,波及半数以上财富500强企业

2017-09-07 arumoaketo

热门开源框架Apache Struts又被曝存在远程代码执行漏洞(高危),漏洞编号CVE-2017-9805,S2-052,再一次没有辜负其“万年漏洞王”的美名。

Semmle研究人员发现了这个高危漏洞,该漏洞一旦被黑客利用可轻易控制受影响的服务器,危及公司的敏感数据安全。攻击者利用该漏洞可在使用REST插件运行应用程序的服务器上远程执行代码。即当用户使用带有 XStream 程序的 Struts REST 插件来处理 XML payloads 时,可能会遭到远程代码执行攻击。

受影响的版本

研究人员指出,自2008年以来的所有Struts版本(Structs 2.5-Struts 2.5.12)均受到影响。

财富100强公司使用Apache Struts提供Java Web应用程序,并支持前端与后端应用程序。LGTM安全研究员Man Yue Mo表示,许多可公开访问的Web应用程序都在使用Struts,例如航班订票系统和网上银行系统,这种情况下,黑客通过Web浏览器就能加以利用。

Semmle产品经理Bas van Schaik表示,要利用该漏洞轻而易举。如果了解要发送的请求,就能在运行漏洞应用程序的Web服务器上启动任何进程。

Mo指出,Struts2 REST插件使用带有XStream程序的XStream Handler进行未经任何代码过滤的反序列化操作,这可能在反序列化XML payloads时导致远程代码执行。攻击者可利用该漏洞在受影响的Structs服务器上运行任何命令,甚至在防火墙后运行。van Schaik表示,如果服务器包含客户或用户数据,要收集数据并转移至别处将是轻而易举的事情。攻击者还能将该服务器作为进入网络其它领域的切入点,有效绕过公司防火墙,并获得其它屏蔽领域的访问权。

此外,攻击者还能利用该漏洞找到凭证,连接到数据库服务器提取所有数据。更糟糕的是,攻击者还能悄悄删除数据,遭遇攻击的组织机构甚至会毫无察觉,当发现时已为时已晚。

财富500强中有65%的企业受影响

安全研究人员开发了一个简单有效的漏洞利用,但目前尚未发布,意在为公司留出时间修复系统。van Schaik称目前未发现漏洞被利用的情况,但在漏洞细节公开后几个小时之内可能就会被利用。

受影响的企业及机构

源代码修复程序几周前已发布,Apache周二也发布了补丁,但许多未修复系统的公司仍会遭受攻击。

使用Apache Struts框架搭建 Web 应用的机构及企业包括——花旗集团、美国国家税务局、加州机动车辆局在内的政府官网以及大型跨国公司英国维珍大西洋航空公司、英国电信企业沃达丰等。这些还只是“冰山一角”,此次漏洞影响范围或许相当广泛,相关企业应当给予重视。

Redmonk行业分析师芬坦·瑞恩表示,Struts通常用于维护或加强现有应用程序,根据企业使用Struts的情况统计得出,财富500强中有65%的企业潜在受该漏洞影响。

相关解决方案

van Schaik指出,除了公开披露漏洞,升级Struts组件之外,目前别无他法。

解决方案:

在不使用时删除Struts REST插件,或仅限于服务器普通页面和JSONs:

限制服务器端扩展类型,删除XML支持。

建议升级到Struts 2.5.13

文章来源:E安全


用户评论
开源开发学习小组列表