[摘要] 原标题:上周三才修补Struts 2漏洞,概念性验证攻击程式周五就现身 示意图,与新闻事件无关。 图片来源: Apache△Software△Foundation Apache软件基金会(Apache△Software△Foundation)甫于上周三
原标题:上周三才修补Struts 2漏洞,概念性验证攻击程式周五就现身
示意图,与新闻事件无关。 图片来源: Apache△Software△Foundation Apache软件基金会(Apache△Software△Foundation)甫于上周三(8/22)修补了编号为CVE-2018-11776的Struts△2安全漏洞,但Recorded△Future的安...
示意图,与新闻事件无关。
图片来源:Apache△Software△Foundation
Apache软件基金会(Apache△Software△Foundation)甫于上周三(8/22)修补了编号为CVE-2018-11776的Struts△2安全漏洞,但Recorded△Future的安全研究人员上周五(8/24)就在GitHub上发现了该漏洞的概念性验证攻击程式,同时也察觉中国与俄罗斯的数个地下论坛正在热烈讨论如何开采该漏洞。
CVE-2018-11776漏洞被归类为重大(Critical)漏洞,它会在两种情况下被触发,一是当XML配置中未设定命名空间(Namespace),同时上层动作配置没有或使用通配符号命名空间时,其次是所使用的URL标签没有设定行动与值,同时上层动作配置没有或使用通配符号命名空间时,就可能允许骇客执行远端程式攻击,也有机会获得目标系统的存取权限。
Recorded△Future的资深安全架构师Allan△Liska说明,这意味着骇客只要在一个HTTP请求中,把自己的命名空间加到URL中就能开采该漏洞,有别于Struts△2去年造成Equifax资料外泄的CVE-2017-5638漏洞,CVE-2018-11776相对容易开采,因为成功的开采完全不需要在Struts上安装额外的外挂程式。
Liska指出,Struts是个非常受欢迎的Java框架,也许有数亿个含有该漏洞的系统,但许多执行Struts的伺服器皆属后端应用伺服器,并不是那么容易分辨,就算是系统所有人也可能错过。
然而,居心不良的骇客可能会诱骗伺服器传回一个Java堆叠追踪,或是寻找特定的档案或目录来分辨潜在的Struts伺服器。
除了部署Apache软件基金会所释出的更新程式外,Liska也提出了暂时性的补救措施,也即确保在Struts△2中设定了命名空间。
率先揭露该漏洞的Man△Yue△Mo则说,他们尚未证实该概念性验证攻击程式是否可行,倘若答案是肯定的,将替骇客带来攻击捷径。
橙山网(Csnd.net)简评:图片来源: Apache△Software△Foundation Apache软件基金会(Apache△Software△Foundation)甫于上周三(8/22)修补了编号为CVE-2018-11
网友评论