当前位置: > >Apache Struts2再度爆发高风险漏洞,HITCON Zeroday通报:金融电

Apache Struts2再度爆发高风险漏洞,HITCON Zeroday通报:金融电

03-12,IT资讯Apache Struts2再度爆发高风险漏洞,HITCON Zeroday通报:金融电最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯

用J2EE开发框架Apache Struts2的网站伺服器的网管人员注意,如果网站伺服器所使用的框架版本是Struts 2.3.5 、Struts 2.3.31、Struts 2.5~Struts 2.5.10等版本,因为Apache基金会公布,上述相关版本都存在一个编号S2-045的漏洞(CVE-2017-5638),骇客可以轻易远端执行恶意程式码(RCE)、成功入侵网站,网站管理人员都应儘速升级到最新版本框架,以策安全。

台湾漏洞发布平台HITCON Zeroday发言人翁浩正表示,目前已经接收到台湾已经有多家银行业者的网站服务,遭到骇客进行大规模的IP扫描,如果台湾的银行网站使用有问题的Struts2框架版本且没有即时更新到最新版本,骇客就可以成功入侵并掌控银行伺服器。他也说,在台湾除了银行业外,另外包括券商、电商以及电信业者业者等,普遍使用Struts2框架的业者也非常多,都应该保持警戒、立即修补相关漏洞。

S2-045的漏洞可以导致网站资料外洩、被植入木马程式等风险

骇客利用S2-045的漏洞,除了可以成功窃取包括银行和电信等网站资料库的资料外,翁浩正指出,不论是资料外洩、窜改网页、植入后门或木马程式,将该网站作为发动DoS攻击的傀儡网站等,甚至先行潜伏一段时间再伺机而动,「这一切的风险,都是因为有问题的Struts2开发框架没有进行程式修补的缘故。」他说。

翁浩正表示,目前网站上已经有许多成功验证(POC)S2-045漏洞的攻击程式,骇客只需要透过一个点击,就可以成功入侵网站伺服器,S2-045的漏洞风险也跟以往一样严重,都容易被利用、攻击成功率超高。

他也呼吁,所有使用Apache Struts2框架的网站伺服器管理员,应该儘速升级到最新的Struts 2.3.32版或者是Struts 2.5.10.1版;如果网站伺服器无法立即更新,企业也应该使用类似WAF设备,针对攻击程式进行调整后阻挡骇客这一波的攻击手法。

距离上一次(2016年4月)因为高风险的Struts2漏洞大爆发,使得全球网站管理员又必须熬夜修补漏洞,不过才1年的时间,但Struts2造成的资安风险,这不是第一次,也不会是最后一次,甚至于,最早可以追溯到2010年,每年都至少有一次,因为Struts2漏洞导致企业必须进行网路伺服器漏洞修补的情况发生。

由于Struts2是应用非常广泛的J2EE框架,但近年来层出不穷的漏洞修补事件,都和最早的程式开发人员没有写「安全的程式」习惯有关係;虽然Struts2是开源框架并由Apache基金会负责维运,但是基金会并没有足够的能力解决已经存在的漏洞,也无力进行百分之百的修补,再加上,许多Struts2可以利用的远端执行程式非常简单,攻击工具也非常容易创造并大量散布使用,都是Struts2为什么年年都有爆发资安事件的原因之一。

?

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >