Apache Struts RCE漏洞允许黑客入侵Web服务器

  • A+
所属分类:网络安全新闻

Apache Struts RCE漏洞允许黑客入侵Web服务器

来自Semmle公司的安全研究员Man Yue Mo在流行的Apache Struts web应用程序框架中发现了的一个关键的远程代码执行(RCE)漏洞,该漏洞允许远程攻击者在受影响的服务器上运行恶意代码。

Apache Struts是开源网页应用程序框架,用于以Java编程语言开发Web应用程序。它在全球范围内被各种规模的企业广泛使用,包括位列《财富》100强企业中65%的企业,如跨国移动电话营办商沃达丰(Vodafone)、美国航空航天制造商洛克希德·马丁(Lockheed Martin)和英国维珍大西洋航空公司(Virgin Atlantic),也包括美国国内税务局(IRS)。

这个漏洞已经被分配为CVE-2018-11776,存在于Apache Struts的内核中。它来源于在某些配置下,用户在Struts框架的内核中提供的不可信输入没有得到充分的验证。

新发现的Apache Struts漏洞可以通过访问受影响的Web服务器上的恶意URL来触发,允许攻击者执行恶意代码,并最终完全控制运行易受攻击应用程序的目标服务器。

CVE-2018-11776漏洞的影响范围

目前已经被确认受该漏洞影响的Apache Struts版本包括:Struts 2.3到Struts 2.3.34和Struts 2.5到Struts 2.5.16,但并不意味着其他版本就一定不受影响。

满足以下条件中的任意一个,都可能会导致远程代码执行:

1)在使用Struts2框架定义XML配置时,如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace;

2)url标签未设置value和action值且上层动作未设置或用通配符namespace。

这个漏洞为什么应该被认真对待?

就在几个月以前,作为美国三大信用评级机构之一的Equifax公司遭遇了一起大规模的数据泄露事件,涉及1.43亿消费者。经调查发现,此次事件就是因为该公司没有及时修补在去年早些时候就已经被公开披露的类似的Apache Struts漏洞(CVE-2017-5638)而引起的。

根据相关报道显示,发生在Equifax身上的数据泄露事件导致该公司损失了超过6亿美元。

“Struts被用于面向客户的可公开访问网站,易受攻击的系统很容易被识别出来,而且对于这个漏洞而言,漏洞利用非常简单。” Semmle公司的联合创始人兼副总裁Pavel Avgustinov表示,“黑客完全可以在几分钟之内找出攻击方法,并从被入侵的系统中窃取数据,或实施进一步的攻击。”

Apache Struts已经通过发布Struts版本2.3.35和2.5.17来修复了这个漏洞,我们强烈建议使用Apache Struts的企业和开发人员应尽快升级自己的Struts组件。

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!