【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

时间:2021-04-20 16:59:08

Struts2是一款优秀的网站框架,在互联网上有十分广泛的应用,近期apache官方发布了高危漏洞通告Apache Struts 任意代码执行漏洞(CVE-2016-3081,S2-032),该漏洞风险等级为高级且广泛影响Struts2各版本,利用该漏洞黑客可以执行任意命令、可直接获取网站服务器权限等,具有严重的危害性。中国国家信息安全漏洞库于4月26日正式发布了该漏洞信息,一夜之间乌云等互联网漏洞平台已曝出大量银行、互联网公司、传统企业的网站受该漏洞影响。

这自2012年Struts2命令执行漏洞大规模爆发之后,该服务时隔四年爆发大规模之后,该服务时隔四年爆发的大规模漏洞。

为什么这个漏洞事件影响会如此严重?
国内外使用Apache Struts2框架的企业机构实在太多,安全过渡依赖第三方,甚至能看到本次被第一时间暴漏影响到的是金融行业和运营商。而这些企业机构掌握的核心的数据资产,使得该漏洞的影响更为严重。当然,几年前的Struts2漏洞影响余波甚至可以追溯到2015年,甚至目前还有一些企业机构外网和内网还存在很多几年前未修复的漏洞现象。而基本经过前几次的补丁升级,现在能看到的大多数企业团队使用的Apache是存在有问题的版本,这方面的数据,其实很期待有更专业的安全团队来进行分析比对,有一组更为直观的数据可以展示。

截止目前,乌云漏洞报告已收到100多家网站的相关漏洞报告,其中银行占了很大比例,目前已有多个版本的漏洞利用POC在互联网流传,分为命令执行版本与直接写入web后门的版本
【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

本次漏洞影响范围
【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

漏洞测试样例
【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

解决方案一
【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

解决方案二
使用OneRASP JAVA探针可实时阻断漏洞攻击,代码级定位漏洞。

【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。阅读更多技术文章,请访问OneAPM 官方技术博客

本文转自 OneAPM 官方博客