昨天的信息安全和互联网界,再一次被Struts2刷了一次屏:Struts2存在远程代码执行的严重漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并被官方定级为高危风险。黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。
那么,问题来了,Struts2到底是什么玩意?
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互,它在国内使用非常广泛,被大量的政府、金融以及大中型互联网公司所使用。所以,每一次爆出Struts2的漏洞,相关单位和各大互联网公司都非常敏感。日前盛传的“京东12G用户数据泄露事件”的罪魁祸首就是Struts漏洞。
近年来,Struts漏洞频发,影响比较大的有如下这些:
2010年 S2-005
CVE-2010-1870 XWork ParameterInterceptors bypass allows OGNLstatement execution
2012年1月 S2-008
CVE-2012-0392 struts2 DevMod Remote Command Execution Vulnerability
2012年1月 S2-009
CVE-2011-3923 Struts<=2.3.1参数拦截器代码执行
2013年 5月 S2-013
CVE-2013-1966 Struts2 <= 2.3.14 includeParams属性远程命令执行漏洞
2013年7月 S2-016
CVE-2013-2251 Struts2 <= 2.3.15.1 action、redirect、redirectAction前缀远程命令执行漏洞
2014年3月 S2-020
Struts2 <= 2.3.16 DoS attacks and ClassLoader manipulation
2014年4月 S2-021
Struts2 <= 2.3.16.1 bypass patch(ClassLoader manipulation)
回顾struts2的漏洞历史,Apache官方难辞其咎,首先,开发人员安全意识不强,虽然采取了基本的安全措施,但是形同虚设。其次,官方修复力度不够,给我的感觉总像是在敷衍了事,未能从根本上解决问题。再就是,官方的开放精神确实很震撼,竟然直接将漏洞的PoC挂在官网,这样给了很多人进一步研究漏洞利用的机会,这个也是导致问题更加严重的一个原因。
近两年关于struts2的攻击事件频发,攻击面覆盖各大门户网站,包括向移动、电信、联通、各大网银、证券等等,因为struts2是一款功能非常强大的j2ee框架,特别是对于广大开发人员,应用非常广泛。所以一旦struts2出现0day,导致互联网上出现大面积被入侵、被拖库,信息泄露等事件。
在这里,笔者提醒广大java开发人员以及系统运维人员,面对这么一个漏洞百出的框架,你还敢用吗,还是早日换掉这个危险的struts2吧!实在必须要用,也请及时更新struts2框架版本。如果有能力,最好自己去开发应用框架,避免使用开源框架。
参考:
1.http://www.freebuf.com/articles/web/33301.html
2.https://cwiki.apache.org/confluence/display/WW/Security+Bulletins
3.http://www.leiphone.com/news/201703/GGlXuODrwTovCx0u.html
4.百度百科