Struts2 再起风云,千里目带你纵览天朝格局
千里百科
Struts2 是全球使用最广泛的Java Web 服务端框架之一。Struts2 是 Struts 的下一代产品,是在 Struts1 和 WebWork 的技术基础上进行了合并的全新的 Web 框架。
漏洞回顾
Struts2 官方于 4 月 20 日发布 S2-032 漏洞通告,4 月25 日下午 3 点 29 分,白帽子 menmen519 在 Wooyun 社区发布了利用 S2-032 远程代码执行漏洞向网站中写入Webshell 的 PoC。
此后的几个小时内,漏洞利用的命令行工具、批量检测脚本、图形化工具、在线检测工具等被迅速开发出来,漏洞得到空前的重视。乌云、补天等漏洞提交平台都被此漏洞刷屏。
从目前来看漏洞利用工具和 EXP 来看,该漏洞的危害主要体现在命令执行和任意文件上传,利用方式如下(以下代码仅供学习交流之用,因此造成的不良后果请自负):
漏洞影响
截止到 2016 年 4 月 28 日 18:30,依然有大量用户未对漏洞进行修复。威胁中心数据显示,受本次漏洞影响大量存在漏洞的网站处于关闭修复状态。接下来将从行业影响、地域影响、威胁拦截情况,来感受一下本次漏洞带来的影响与危害。
首先,从行业影响来看,自 4 月 26 漏洞爆发以来,该漏洞对金融、证券行业影响较大。经过2天的漏洞修复,截止到 2016年 4 月 28 日 18:30,从威胁数据中心显示金融、证券行业漏洞修复率很高,但目前政府、教育行业漏洞修复率依然较差。数据显示 S2-032 漏洞对政府行业影响较大,比例为 33.33%,详细数据统计分布如下图。
其次,从地域影响来看,经过 2 天的漏洞修复,截止到 2016 年 4 月 28 日 18:30,从威胁数据中心显示来看广东、北京地域漏洞存在漏洞的网站比例依旧很高,详细数据统计分布如下图。
最后,从某公司威胁云中心实时捕获的 Struts2 漏洞拦截数据来看,从 4 月 26 日早上开始短短数小时,已有多个版本漏洞利用工具或攻击代码在互联网流传,分为命令执行版本与直接写入 Web 后门的版本。近 24 小时内利用此漏洞的网络攻击状况如下图所示:
受 S2-032 漏洞的影响,利用 S2-016 漏洞的攻击也比平时有爆发式的增长。
从图中可以看出,27 日 21 点左右和 28 日的 5 点左右,分别是漏洞 S2-016 和漏洞 S2-032 的利用小高峰。这说明一些自动化漏洞利用和检测工具在夜间不停地对 S2-016 和 S2-032 进行批量扫描。
漏洞工具风险影藏发现
S2-032 漏洞工具隐藏巨大风险,漏洞工具在互联网网站快速传播、泛滥使用无形间给本次安全事件雪上加霜。
首先,互联网上下载的漏洞工具不仅仅是对漏洞验测(PoC),而且在验测的过程利用漏洞自动化上传 Webshell、木马等。未知安全工具对漏洞验测给黑客上传了 Webshell、木马提供了温床。因此,可以肯定的是存在 S2-032 漏洞的网站被上传 Webshell、木马后,即使对网站进行了修补,安全威胁依然存在,因此这里建议存在风险的网站要对网站的后门、木马、Webshell进行二次排查,杜绝隐患。
其次,部分漏洞利用工具含有木马,部分安全人员在使用未知的安全工具过程中,不小心就会中了木马。提醒网站管理员之后,轮到白帽子们多加注意了,小伙伴们最喜欢的《Struts2 漏洞利用工具 2016 版》工具就被绑定了木马。
| 
发表于 2016-4-29 16:41
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-4-29 16:52
工程师2级