×

Struts2 再起风云,千里目带你纵览天朝格局
  

深信服安全产品研发 5649

{{ttag.title}}


Struts2 再起风云,千里目带你纵览天朝格局


千里百科                                         

Struts2 是全球使用最广泛的Java Web 服务端框架之一。Struts2 是 Struts 的下一代产品,是在 Struts1 和 WebWork 的技术基础上进行了合并的全新的 Web 框架。

漏洞回顾                                                  

Struts2 官方于 4 月 20 日发布 S2-032 漏洞通告,4 月25 日下午 3 点 29 分,白帽子 menmen519 在 Wooyun 社区发布了利用 S2-032 远程代码执行漏洞向网站中写入Webshell 的 PoC。

此后的几个小时内,漏洞利用的命令行工具、批量检测脚本、图形化工具、在线检测工具等被迅速开发出来,漏洞得到空前的重视。乌云、补天等漏洞提交平台都被此漏洞刷屏。

从目前来看漏洞利用工具和 EXP 来看,该漏洞的危害主要体现在命令执行和任意文件上传,利用方式如下(以下代码仅供学习交流之用,因此造成的不良后果请自负):


漏洞影响                                                

截止到 2016 年 4 月 28 日 18:30,依然有大量用户未对漏洞进行修复。威胁中心数据显示,受本次漏洞影响大量存在漏洞的网站处于关闭修复状态。接下来将从行业影响、地域影响、威胁拦截情况,来感受一下本次漏洞带来的影响与危害。


首先,从行业影响来看,自 4 月 26 漏洞爆发以来,该漏洞对金融、证券行业影响较大。经过2天的漏洞修复,截止到 2016年 4 月 28 日 18:30,从威胁数据中心显示金融、证券行业漏洞修复率很高,但目前政府、教育行业漏洞修复率依然较差。数据显示 S2-032 漏洞对政府行业影响较大,比例为 33.33%,详细数据统计分布如下图。


其次,从地域影响来看,经过 2 天的漏洞修复,截止到 2016 年 4 月 28 日 18:30,从威胁数据中心显示来看广东、北京地域漏洞存在漏洞的网站比例依旧很高,详细数据统计分布如下图。


最后,从某公司威胁云中心实时捕获的 Struts2 漏洞拦截数据来看,从 4 月 26 日早上开始短短数小时,已有多个版本漏洞利用工具或攻击代码在互联网流传,分为命令执行版本直接写入 Web 后门的版本。近 24 小时内利用此漏洞的网络攻击状况如下图所示:



受 S2-032 漏洞的影响,利用 S2-016 漏洞的攻击也比平时有爆发式的增长。

从图中可以看出,27 日 21 点左右和 28 日的 5 点左右,分别是漏洞 S2-016 和漏洞 S2-032 的利用小高峰。这说明一些自动化漏洞利用和检测工具在夜间不停地对 S2-016 和 S2-032 进行批量扫描。

漏洞工具风险影藏发现                              

S2-032 漏洞工具隐藏巨大风险,漏洞工具在互联网网站快速传播、泛滥使用无形间给本次安全事件雪上加霜。


首先,互联网上下载的漏洞工具不仅仅是对漏洞验测(PoC),而且在验测的过程利用漏洞自动化上传 Webshell、木马等。未知安全工具对漏洞验测给黑客上传了 Webshell、木马提供了温床。因此,可以肯定的是存在 S2-032 漏洞的网站被上传 Webshell、木马后,即使对网站进行了修补,安全威胁依然存在,因此这里建议存在风险的网站要对网站的后门、木马、Webshell进行二次排查,杜绝隐患。


其次,部分漏洞利用工具含有木马,部分安全人员在使用未知的安全工具过程中,不小心就会中了木马。提醒网站管理员之后,轮到白帽子们多加注意了,小伙伴们最喜欢的《Struts2 漏洞利用工具 2016 版》工具就被绑定了木马。


打赏鼓励作者,期待更多好文!

打赏
1人已打赏

Sangfor_闪电回_朱丽 发表于 2016-4-29 16:52
  
今天还推荐了用户使用了这个工具(突然觉得天都黑了,整个人都不好了)...
赶紧去提醒我的小伙伴~~~
千里目_甲鱼 发表于 2016-4-29 17:19
  
顶阔牛和兴牛
北回归线 发表于 2016-5-5 20:29
  
牛逼,好像绿盟的waf都拦截不了
18915079163 发表于 2016-6-15 12:59
  
弱弱的问句:工具在哪
woshishui 发表于 2016-6-15 13:41
  
任意文件上传,执行shell,打开计算器等
帅帅哥 发表于 2019-1-23 08:55
  
感谢分享,就是图片下面的字体不清晰
厌児 发表于 2019-2-11 14:17
  
感谢楼主的分享呢 多学习点
头像被屏蔽
新手098975 发表于 2019-5-8 10:23
  
提示: 作者被禁止或删除 内容自动屏蔽
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人