天融信TopWAF防御Apache Struts2漏洞

互联网 | 编辑: 何毅 2013-08-05 11:00:00转载

近期,国家互联网应急中心(CNCERT)主办的国家信息安全漏洞共享平台收录了Apache Struts存在一个远程命令执行高危漏洞。综合利用漏洞,可发起远程攻击,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构成信息泄露和运行安全威胁。

"高危"漏洞严重威胁网站安全

近期,国家互联网应急中心(CNCERT)主办的国家信息安全漏洞共享平台收录了Apache Struts存在一个远程命令执行高危漏洞(编号:CNVD-2013-25061,对应CVE-2013-1966)。综合利用漏洞,可发起远程攻击,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构成信息泄露和运行安全威胁。

Apache Struts2 是第二代基于Model-View-Controller (MVC)模型的JAVA企业级WEB应用框架。根据分析结果,Apache Struts2的s:a和s:url标签都提供了一个includeParams属性,当该属性被设置为get或all时,Apache Struts2会将用户提交的参数值作为OGNL表达式执行。攻击者通过构造特定的OGNL表达式,进而执行Java代码或操作系统指令。

CNVD对该漏洞的评级为"高危",Apache Struts 2.0.0 - 2.3.14受到漏洞影响。该漏洞与在2012年对我国境内政府和重要信息系统部门、企事业单位网站造成严重威胁的漏洞(CNVD-2012-09285,对应CVE-2012-0392)相比,利用前提条件有所限制,但技术评级相同且受影响版本更多。

2013年4月起,CNVD就陆续接收到漏洞研究者针对该漏洞的相关网站测试案例报告,当中包括多种形式的涉及Windows/Linux平台的漏洞利用代码。

Apache Struts2安全更新,修复重要漏洞

Apache Struts团队6月底发布了Struts 2.3.15版本,由于该版本被发现存在重要的安全漏洞,因此该团队于7月17日发布了Struts 2.3.15.1安全更新版本。

该版本修复的主要安全漏洞如下:

" 使用缩写的导航参数前缀时的远程代码执行漏洞

" 使用缩写的重定向参数前缀时的开放式重定向漏洞

因此,天融信WEB安全研究团队建议开发者将所有Struts 2应用程序升级至最新版本。

如果从其他分支迁移至2.3.x分支,需要注意,该分支最低要求Servlet API 2.4、JSP API 2.0和Java 5。

天融信TopWAF有效防御Apache Struts2高危漏洞

漏洞公布后,天融信WEB安全研究团队第一时间响应分析,更新了TopWAF中的攻击规则库,增加了对Apache Struts2漏洞的防护规则,避免没有及时对Struts 2应用程序版本进行升级的网站遭到黑客攻击。经过测试验证,TopWAF的防护效果显著。

未部署TopWAF时,存在漏洞的网站可以轻而易举的被攻击成功,网站敏感信息严重泄露。

图 1:攻击成功示意图

部署TopWAF后,黑客的恶意请求行为被TopWAF有效阻止,避免存在漏洞的网站泄露敏感信息。

图 2:攻击失败示意图

综合以上,天融信WEB安全研究团队提醒正在使用Struts框架的网站管理员,及时升级应用程序或TopWAF规则库至最新版本。以保证自己的网站免遭Struts 2高危漏洞的危害。

天融信TopWAF简介:

WEB应用安全防护系统TopWAF系列是天融信公司根据当前互联网安全状况,研制出品的新一代WEB应用防火墙产品。该产品对所有流经WEB服务器的HTTP/HTTPS流量进行深入分析,防止黑客利用应用程序漏洞对网站进行WEB攻击。同时,TopWAF集成WEB应用加速及网站业务智能分析等功能,致力对各类网站系统提供高质量的安全防护及业务优化。

图 3:TopWAF三大核心功能

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑