總機:020-87516161 傳真:020-87516161-8040
地址:廣州市天河北路898號信源大廈3206-3211室 郵編:510660
安全公告編號:CNTA-2014-0016
3月11日,CNVD收錄了Apache Struts 2存在的拒絕服務和ClassLoader安全繞過漏洞(CNVD-2014-01552,對應CVE-2014-0050和CVE-2014-0094),官方同步提供了Apache Struts 2.3.16.1作為升級版本。4月23日晚,安全人員研究發現其提供的升級版本并未完全修復漏洞,相關安全機制可被繞過,對互聯網上應用Apache Struts2的大量服務器構成拒絕服務和遠程控制威脅。
一、漏洞成因和威脅
根據分析,Apache Struts 2.0.0-2.3.16版本的默認上傳機制是基于Commons FileUpload 1.3版本,其附加的ParametersInterceptor允許訪問 'class' 參數(該參數直接映射到getClass()方法),并允許控制ClassLoader。在具體的Web容器部署環境下(如:Tomcat),攻擊者利用Web容器下的Java Class對象及其屬性參數(如:日志存儲參數),可向服務器發起遠程代碼執行攻擊,進而植入網站后門控制網站服務器主機。
目前,已經驗證的測試案例表明Tomcat服務器易被發起拒絕服務或遠程滲透攻擊,同時CNVD認為ClassLoader安全繞過漏洞可進一步涉及部署其他Web容器的網站服務器。CNVD對該漏洞的綜合評級為“高危”。
二、漏洞處置措施和建議
至24日17時,ApacheStruts2官方未提供進一步的修復方法,僅在github網站上提出新的修復措施,但相關修復措施目前被驗證仍然存在繞過風險。目前,國內多家安全機構也提出了臨時防護措施,CNVD綜合評估認為,由于黑客的攻擊代碼可根據部署環境以及調用參數的不同而變化出多種形式,不排除目前防護措施未來存在被繞過的可能。
建議相關用戶在Web服務器上一方面要積極采用應用層過濾的防護措施,同時也要及時關注Apache Struts2官方發布的最新漏洞補丁信息。
CNVD將持續監測后續攻擊情況,包括利用代碼變種以及網站后門植入攻擊等,如需技術支援,請聯系郵箱:vreport@cert.org.cn,電話:010-82990286。
注:CNVD成員單位啟明星辰、綠盟科技公司提供了漏洞分析文檔,CNVD成員單位知道創宇、奇虎360公司以及國內的翰海源公司提供了部分研判支持。
參考鏈接:
1、漏洞信息
http://www.cnvd.org.cn/flaw/show/CNVD-2014-01552
http://struts.apache.org/release/2.3.x/docs/s2-020.html
2、修復措施參考:
https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be(Apache Struts 2官方提供的修復措施,尚未完善)
http://blog.vulnhunt.com/index.php/2014/04/24/apache_struts2_0day/