事件回顧:
2013年7月17日被許多人稱之為中國互聯(lián)網(wǎng)安全災(zāi)難日。這一天,成為許多安全運(yùn)維、黑客的不眠之夜……
此前,據(jù)烏云漏洞報(bào)告平臺(tái)、SCANV網(wǎng)站安全中心等安全機(jī)構(gòu)發(fā)出的紅色警報(bào)顯示:世界知名開源軟件Struts2再曝高危漏洞,該漏洞影響到struts2.0-2.3.15版本,可直接導(dǎo)致服務(wù)器被遠(yuǎn)程控制,引起數(shù)據(jù)泄漏。這些漏洞可使黑客取得網(wǎng)站服務(wù)器的“最高權(quán)限”,從而使企業(yè)服務(wù)器變成黑客手中的“肉雞”。
Struts 2漏洞一石激起千層浪
Strut是Apache基金會(huì)Jakarta項(xiàng)目組的一個(gè)開源項(xiàng)目,其采用MVC 模式,幫助java開發(fā)者利用J2EE開發(fā) Web 應(yīng)用。Struts通過采用Java Servlet/JSP技術(shù),實(shí)現(xiàn)了基于Java EE Web應(yīng)用的Model-View-Controller(MVC)設(shè)計(jì)模式的應(yīng)用框架,目前,Struts廣泛應(yīng)用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機(jī)構(gòu)等網(wǎng)站建設(shè),并作為網(wǎng)站開發(fā)的底層模板使用
Struts2已經(jīng)并非第一次曝出高危漏洞,其在今年5月底發(fā)布的Struts 2.3.14.2版本、6月初發(fā)布的2.3.14.3版本,都修復(fù)了相關(guān)的漏洞,而這些漏洞都可能導(dǎo)致執(zhí)行遠(yuǎn)程命令、訪問/控制會(huì)話以及發(fā)起XSS攻擊等。
然而以往的這些Struts2漏洞,都沒有引起如此次這般巨大的影響。據(jù)360安全專家石曉虹博士介紹,由于Struts2屬于底層框架,其漏洞影響范圍廣、利用難度低,利用該漏洞,“菜鳥”也可以使用攻擊工具直接控制網(wǎng)站服務(wù)器,盜取用戶數(shù)據(jù)庫,獲取網(wǎng)站注冊(cè)用戶的帳號(hào)密碼和個(gè)人資料。
與此同時(shí),網(wǎng)絡(luò)上已開始出現(xiàn)一些自動(dòng)化、傻瓜化的Stuts2漏洞攻擊軟件,只要在軟件中填寫存在Struts 2漏洞的網(wǎng)站地址,即可直接執(zhí)行服務(wù)器命令,讀取網(wǎng)站數(shù)據(jù)或讓服務(wù)器關(guān)機(jī)等操作。
相關(guān)安全機(jī)構(gòu)也紛紛在第一時(shí)間發(fā)布Stuts2漏洞的相關(guān)信息分析及漏洞補(bǔ)丁下載地址,力圖將漏洞損失控制到最小范圍。
然而,據(jù)烏云平臺(tái)的數(shù)據(jù)顯示:本次爆發(fā)的Struts漏洞影響巨大,受影響站點(diǎn)以電商、銀行、門戶、政府居多。國內(nèi)數(shù)十個(gè)知名網(wǎng)站已經(jīng)被發(fā)現(xiàn)受該漏洞影響,包括電信、移動(dòng)、百度、騰訊、京東商城等網(wǎng)站的分站。而蘋果官方也在今天向開發(fā)者發(fā)出郵件稱,其開發(fā)者網(wǎng)站(developer.apple.com)遭到入侵,部分開發(fā)者信息可能已被泄露。有關(guān)安全專家認(rèn)為,此次入侵或與此次爆發(fā)的Apache Struts2漏洞有關(guān)。雖然目前尚不清楚蘋果被入侵的真正原因以及影響,但如果其真的與Struts2漏洞有關(guān),一場(chǎng)全球性的互聯(lián)網(wǎng)安全危機(jī)或?qū)⒌絹怼?/p>