導(dǎo)語:黑客可以利用該漏洞通過瀏覽器在遠(yuǎn)程服務(wù)器上執(zhí)行任意系統(tǒng)命令,將會對受影響站點造成嚴(yán)重影響,引發(fā)數(shù)據(jù)泄露、網(wǎng)頁篡改、植入后門、成為肉雞等安全事件。
最近,雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))從安恒了解到,安恒信息安全研究院 WEBIN 實驗室高級安全研究員 n、Nike Zheng 發(fā)現(xiàn)了著名 J2EE 框架——Struts2 存在遠(yuǎn)程代碼執(zhí)行的嚴(yán)重漏洞。目前 Struts2 官方已經(jīng)確認(rèn)漏洞(漏洞編號S2-045,CVE編號:cve-2017-5638),并定級為高危風(fēng)險。
由于該漏洞影響范圍較廣(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),漏洞危害程度嚴(yán)重,可造成直接獲取應(yīng)用系統(tǒng)所在服務(wù)器的控制權(quán)限。
這是什么意思?
黑客可以利用該漏洞通過瀏覽器在遠(yuǎn)程服務(wù)器上執(zhí)行任意系統(tǒng)命令,將會對受影響站點造成嚴(yán)重影響,引發(fā)數(shù)據(jù)泄露、網(wǎng)頁篡改、植入后門、成為肉雞等安全事件。
為什么說本次漏洞影響極大?
此前 s2-016 漏洞同樣危害非常嚴(yán)重,多數(shù)站點已經(jīng)打補(bǔ)丁,而本次漏洞在 s2-016 補(bǔ)丁后的版本均受影響。
最重要的一點是:漏洞利用無任何條件限制,可繞過絕大多數(shù)防護(hù)設(shè)備的通用防護(hù)策略!
目前,安恒的建議是,相關(guān)行業(yè)提前做好該嚴(yán)重漏洞的應(yīng)急準(zhǔn)備工作。更新至 Struts 2.3.32 或者 Struts 2.5.10.1 或使用第三方的防護(hù)設(shè)備進(jìn)行防護(hù)。