新的Apache Struts RCE漏洞允許黑客接管Web服務器

Apache Struts是一個用Java編程語言開發web應用程序的開源框架，被全球企業廣泛使用，包括沃達豐、洛克希德·馬丁、維珍大西洋和IRS等財富100強企業中65%的企業。

脆弱性(CVE-2018-11776)駐留在Apache Struts的核心中，并起源于在特定配置下，對Struts框架核心中用戶提供的不受信任輸入的驗證不足。

新發現的Apache Struts漏洞只需訪問受影響web服務器上精心編制的URL即可觸發，攻擊者可以執行惡意代碼，并最終完全控制運行有漏洞應用程序的目標服務器。

Struts2漏洞-您是否受到影響？

所有使用Apache Struts的應用程序，受支持的版本（Struts 2.3到Struts 2.3.34，Struts 2.5到Struts 2.5.16），甚至一些不受支持的Apache Struts版本，即使沒有啟用其他插件，也可能容易受到此漏洞的攻擊。

Yue Mo說：“這個漏洞影響Struts的常用端點，這些漏洞可能會暴露，向惡意黑客開放攻擊向量”。

如果Apache Struts實現滿足以下條件，則容易受到報告的RCE漏洞的攻擊：

• 這個始終選擇FullNamespace在Struts配置中，flag設置為true。
• Struts配置文件包含一個“action”或“url”標記，該標記未指定可選的名稱空間屬性或指定通配符名稱空間。

據研究人員稱，即使應用程序目前不易受攻擊，“對Struts配置文件的無意更改可能會導致應用程序在未來易受攻擊”。

以下是您應該認真對待Apache Struts漏洞利用的原因

不到一年前，信用評級機構Equifax披露了其1.47億消費者的個人信息，因為他們未能修補當年早些時候披露的類似Apache Struts缺陷（CVE-2017-5638）。

Equifax的違約給公司造成了超過6億美元的損失。

“Struts用于可公開訪問的面向客戶的網站，易受攻擊的系統很容易識別，漏洞也很容易利用，”聯合創始人Pavel Avgustinov說；Semmle QL工程副總裁。

“黑客可以在幾分鐘內找到出路，并從受損系統中過濾數據或發起進一步的攻擊”。

針對關鍵Apache Struts缺陷發布的補丁

Apache Struts在Struts版本2.3.35和2.5.17的發布中修復了該漏洞。迫切建議使用ApacheStruts的組織和開發人員盡快升級其Struts組件。

我們已經看到，之前對Apache Struts中類似關鍵缺陷的披露如何導致PoC攻擊在一天內被公布，并在野外利用該漏洞，使關鍵基礎設施以及客戶數據面臨風險。

因此，強烈建議用戶和管理員將其Apache Struts組件升級到最新版本，即使他們認為自己的配置目前沒有漏洞。

這不是Semmle安全研究團隊第一次報告Apache Struts中存在嚴重的RCE缺陷。不到一年前，該團隊披露了Apache Struts中類似的遠程代碼執行漏洞（CVE-2017-9805）。

更新，Apache Struts RCE漏洞PoC發布

一名安全研究人員今天發布了一項針對Apache Struts web應用程序框架中新發現的遠程代碼執行（RCE）漏洞（CVE-2018-11776）的PoC攻擊。