新的Apache Struts RCE缺陷讓黑客接管Web伺服器

Semmle安全研究員Man Yue Mo 在流行的Apache Struts Web應用程序框架中披露了一個關鍵的遠程執行代碼漏洞，該漏洞可能允許遠程攻擊者在受影響的伺服器上運行惡意代碼。

Apache Struts是一個開源框架，用於以Java編程語言開發Web應用程序，並被全球企業廣泛使用，包括65％的財富100強企業，如沃達豐，洛克希德馬丁，維珍航空和IRS。該漏洞（CVE-2018-11776）位於Apache Struts的核心，由於在某些配置下對Struts框架核心中用戶提供的不可信輸入的驗證不充分而產生。

只需訪問受影響的Web伺服器上的特製URL，即可允許攻擊者執行惡意代碼並最終完全控制運行易受攻擊的應用程序的目標伺服器，從而觸發新發現的Apache Struts漏洞。

Struts2漏洞 - 您是否受到影響？

使用Apache Struts支持的版本（Struts 2.3到Struts 2.3.34，Struts 2.5到Struts 2.5.16）以及一些不受支持的Apache Struts版本的所有應用程序都可能容易受到此漏洞的攻擊，即使沒有啟用其他插件也是如此。「這個漏洞影響Struts的常用端點，可能會暴露出來，為惡意黑客開放攻擊媒介，」岳謨說。

如果滿足以下條件，您的Apache Struts實現容易受到報告的RCE漏洞的影響：

Struts配置中的alwaysSelectFullNamespace標誌設置為true。Struts配置文件包含「action」或「url」標記，該標記未指定可選的namespace屬性或指定通配符名稱空間。

根據研究人員的說法，即使應用程序目前不容易受到攻擊，「對Struts配置文件的無意更改可能會使應用程序在未來容易受到攻擊。」這就是為什麼你應該認真對待Apache Struts漏洞利用

不到一年前，信用評級機構Equifax公布了其1.47億消費者的個人詳細信息，因為他們未能修補當年早些時候公布的類似Apache Struts漏洞（CVE-2017-5638）。Equifax違規行為使公司損失超過6億美元。

Semmle的QL工程聯合創始人兼副總裁Pavel Avgustinov表示：「Struts用於面向公眾的面向客戶的網站，容易識別易受攻擊的系統，並且該漏洞很容易被利用。」

「黑客可以在幾分鐘內找到自己的方式，並從被入侵的系統中泄露數據或進一步攻擊。」

針對關鍵Apache Struts Bug發布補丁

Apache Struts通過發布Struts版本2.3.35和2.5.17修復了該漏洞。迫切建議使用Apache Struts的組織和開發人員儘快升級他們的Struts組件。

我們已經看到以前對Apache Struts中類似關鍵缺陷的披露如何導致PoC漏洞利用在一天之內發布，並且在漏洞中利用漏洞，使關鍵基礎架構以及客戶數據面臨風險。因此，強烈建議用戶和管理員將Apache Struts組件升級到最新版本，即使他們認為他們的配置現在不容易受到攻擊。這不是Semmle安全研究團隊第一次報告Apache Struts中一個關鍵的RCE漏洞。不到一年前，該團隊在Apache Struts中披露了類似的遠程執行代碼漏洞（CVE-2017-9805）。更新 - Apache Struts RCE漏洞利用PoC發布

安全研究人員今天發布 了 針對Apache Struts Web應用程序框架中新發現的遠程代碼執行（RCE）漏洞（CVE-2018-11776）的PoC漏洞。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！