Apache Struts2 再曝高危漏洞,建议立即进行检测与防护
  

SANGFOR_智安全 Lv5发表于 2017-9-6 14:53

Apache Struts2 再曝高危漏洞,建议立即进行检测与防护

      9月5日晚间,Apache 官方发布 Struts 2紧急漏洞公告(S2-052),CVE 编号CVE-2017-9805。公告中披露,Struts2 REST插件的XStream组件存在反序列化漏洞,导致远程代码执行。Struts 2.5 - Struts 2.5.12 版本均受到该漏洞影响。漏洞危险级别被定义为严 重 级 别。

7249059af9b7041601.png


漏洞影响
Struts2 是一个基于 MVC 设计模式的Web应用框架,它本质上相当于一个servlet,在 MVC 设计模式中,Struts2 作为控制器(Controller)来建立模型与视图的数据交互。Struts2 是世界上最流行的 Java Web 服务器框架之一。

Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,导致远程代码执行。攻击者利用此漏洞,可以在受影响系统中执行任意代码,例如添加/删除账号,修改系统文件,植入后门等。

此次S2-052漏洞影响的版本有Struts 2.5 - Struts 2.5.12

漏洞利用
截止发稿时间,公网已经暴露多个漏洞利用 PoC,随机选取PoC如下:

9027059af9c4a25dc2.png



深信服千里目实验室在本地搭建struts-2.5.12版本环境,在环境中访问http://x.x.x.x:8080/struts2-rest-showcase,并在请求数据中植入编辑好的PoC,可看到成功执行 “calc.exe” (计算器程序)命令,如下图所示:
3534859af9c409dc39.png


可见利用该漏洞确实能够远程执行任意恶意代码,造成数据被窃取、系统被破坏等危害。


检测方案
深信服 “云眼” 检测系统已同步更新针对 S2-052 漏洞的检测功能,不清楚资产是否受影响的用户,请提交域名到 “云眼” 平台在线检测获取结果,检测地址:
https://saas.sangfor.com.cn/src/html/login/login.html?type=eyeCloud(请复制该域名地址后在浏览器中打开,非云眼用户可进行注册并免费进行试用检测)

解决方案
1、Apache官方最新版本已修复该漏洞,请受影响用户升级到Struts 2.5.13版本。

2、暂时无法升级的用户, 如果系统无需使用Struts REST插件,请删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名:
<constant name="struts.action.extension" value="xhtml,,json" />

3、深信服下一代防火墙用户,请在今天内升级安全防护规则到 20170906 及其以后版本,可轻松防御针对此漏洞的攻击;深信服 “云盾” 用户,无需升级,可直接获得安全防护。


喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

稻草 Lv15发表于 2017-9-6 15:08
  
9.6版本的现在还没办法更新。
只是想改个名称 Lv7发表于 2017-9-6 15:21
  
最新版本都没到20170906啊,怎么更新呢
新手755889 Lv5发表于 2017-9-6 17:17
  
20170906版本发布了?
稻草 Lv15发表于 2017-9-7 08:05
  
发布了,昨天半夜11点半。。。。
新手601872 Lv10发表于 2017-9-7 09:20
  
就是这种速度,客户值得信赖!!!!
zoonctrl Lv4发表于 2017-9-7 09:24
  
这个是什么产品?还有云盾?
灵活的小胖纸 Lv8发表于 2017-9-7 09:29
  

已更新
QQ图片20170907093003.jpg
小白TWOer Lv7发表于 2017-9-7 10:08
  
已更新
1127759b0aa0789c1e.png
tj_zero Lv9发表于 2017-9-7 12:07
  
这个是自动更新的吧。
×
有话想说?点这里!
可评论、可发帖

本版版主

46
11
1

发帖

粉丝

关注

本版热帖

本版达人

新手74761...

本周提问达人