Apache Struts漏洞導致1.43億美國公民信息被泄

E安全9月11日訊 美國徵信企業Equifax在9月7號發表聲明稱被黑客竊取了1.43億美國用戶的個人信息記錄，並表示該黑客是利用美國網站應用的漏洞獲取了這些文件。

據William Baird&Co.一份關於數據泄露的報告透露，該漏洞存在於名為Apache Struts的開源軟體包中，是用Java編寫的創建Web應用的框架。截至2017年，Struts中已發現多個高危漏洞，最近的一個高危漏洞則是在9月4號被公布。現在，還不清楚Baird的報告中所指的漏洞是哪一個。

財富500強中有65%的企業受影響

9月4號發現的漏洞從2008年開始就一直存在於Struts中，該漏洞由lgtm.com的安全研究員彙報，編號為CVE-2017-9805，漏洞危害程度為高危（Critical）。當用戶使用帶有XStream程序的Struts REST插件來處理XML payloads時，可能會遭到遠程代碼執行攻擊。

在lgtm.com網站的報告中，發現該漏洞的安全研究員就警告稱許多可公開訪問的Web應用程序都在使用Struts，例如航班訂票系統和網上銀行系統，這種情況下，黑客通過Web瀏覽器就能加以利用。

報告中說：「財富100強公司中，至少有65的公司在使用這種用Struts框架搭建的Web應用，比如Lockheed Martin, IRS，花旗銀行，沃達豐，維珍航空，讀者文摘，Office Depot和SHOWTIME等都在用這一框架研發了應用。這足以說明風險分布的範圍之廣。」

該漏洞對REST插件的影響最大，REST是開發者用來控制Web請求的插件，比如將數據從用戶填寫的表單發送到伺服器。該漏洞關係到Struts如何解析這類數據並將其轉換成Java編程語言能讀取的信息。一旦漏洞被成功利用，黑客就可能在數據後隱藏惡意代碼，使Struts轉換數據時執行這些惡意代碼。

這意味著入侵者可以輕鬆地把惡意軟體植入Web伺服器中，甚至在不被檢測到的情況下就竊取或刪除敏感數據，或是用勒索軟體感染電腦，亦或是更糟。

Lgtm.com網站的一名研究人員Man Yue Mo認為，使用Struts的企業應該立刻升級組件。受影響用戶可將軟體升級到修復了漏洞的最新版本。研究人員表示暫未發現該對漏洞的利用在互聯網，黑市或其他地方有擴散。

Redmonk行業分析師芬坦·瑞恩表示，Struts通常用於維護或加強現有應用程序，根據企業使用Struts的情況統計得出，財富500強中有65%的企業潛在受該漏洞影響。

Equifax在9月7日的聲明中還表示，泄露從5月中旬持續到7月29日，公司7月29日發現數據泄露。被訪問的大多數客戶信息包含姓名，社會保險號，生日，地址，有些還有駕照號信息，還有20.9萬客戶的信用卡號。另有18.2萬包含個人信息的信貸糾紛文件也被盜。

Apache Struts關於Equifax被入侵的官方聲明

Apache Struts 項目管理委員會願意就Equifax數據泄露做出聲明，因為這與Apache Struts Web框架有關，而且我們在知曉Equifax遭受了數據泄露，且盜取數據者是利用Apache Struts Web框架後，感到非常遺憾。目前，尚不清楚被利用的是哪一個Struts漏洞。Quartz.com網站上曾發表一篇文章，稱與CVE-2017-9805漏洞有關，而這個漏洞是在9月4號公布的，隨後Apache便發布了可修復漏洞的Struts框架新升級。然而，該安全漏洞早在7月就以被檢測到，這意味著要麼是Equifax伺服器上存在未被及時修復的補丁，要麼是攻擊者利用了零日漏洞。如果漏洞確由CVE-2017-9805引起，那可能是黑客在利用該漏洞時，它還只是個零日漏洞。因為這篇文章稱CVE-2017-9805已經存在九年時間。

作為Apache Struts的項目管理委員會想表明的是，我們的研發團隊為了保障我們產品的安全付出了巨大努力，而且會在第一時間解決問題。按照Apache 安全政策的要求，一旦我們發現可能存在的安全問題，我們就會先私下與報告方合作解決問題，並升級產品以修復漏洞。然後才會將漏洞以及修復的方式告知大眾。即便漏洞是我們已經知道的，我們也會將信息攔截若干周，以便泄露事件在全球爆發前他們有足夠的時間修復自己的軟體。然而，由於漏洞檢測和漏洞的利用已經成了專門的產業，通過對補丁做逆向工程或是掃描未知漏洞，是很有可能在我們完全曝光攻擊向量之前就出現攻擊事件的。

考慮這篇文章中說CVE-2017-9805是一個存在9年的漏洞，讀者就必須理解檢測一個存在9年的漏洞和了解一個存在若干年的漏洞並非同一個概念。如果是後者，安全團隊就不得不花大量精力向公眾解釋為何沒能早一點提供補丁。但這並非現在的情況——我們也只是最近才被告知某段代碼可能存在什麼問題，而後我們便儘快做了修復。我們所見到的是一起常見的軟體工程案例——寫代碼的人是為了實現某種功能，可能無法面面俱到，難免留下漏洞。一旦理解了這一層，我們就希望所有其他的庫和框架持有者也儘快修復漏洞。在CVE-2017-9805的案例中，我們就實現了這一目標。

我們對使用Apache Struts以及其他在其軟體產品和服務中存在任何開源或封閉式庫的企業和個人給出如下幾點建議：

1.了解你的軟體中使用的是哪個框架和庫，分別是什麼版本。隨時關注該產品和版本的安全公告。

2.創建快速修復進程，一旦出於安全原因需要更新框架或庫，可確保及時更新。最好是在幾小時或幾天之內，而不是幾周或幾個月的時間。我們所知的大多數泄露事故都是由於軟體的漏洞已經公開數月，但未及時更新補丁而造成的。

3.任何複雜的軟體都包含漏洞。不要在假定軟體無漏洞的基礎上設置安全策略。

4.設置安全分層。在面向公眾層（如Apache Struts框架）之後再額外設置安全層是可取之策。這樣即便是在面向公眾的層級發生入侵，也不足以讓黑客有能力進入所有後端信息資源。

5.對非常規進入公共Web資源的訪問設置非常規訪問模式監控，目前，有多種開源和收費產品可以檢測這種訪問模式並發出警告。對於特別倚重Web服務的企業，我們推薦這種監控。

以上幾點有助於阻止類似Equifax所經歷的入侵事件。

René GielenApache Struts副總裁

相關解決方案

CVE-2017-9805解決方案：

• 在不使用時刪除Struts REST插件，或僅限於伺服器普通頁面和JSONs：

• 限制伺服器端擴展類型，刪除XML支持。

• 建議升級到Struts 2.5.13！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！