新的Apache Struts RCE缺陷让黑客接管Web服务器

Semmle安全研究员Man Yue Mo在流行的Apache Struts Web应用程序框架中披露了一个关键的远程执行代码漏洞，该漏洞可能允许远程攻击者在受影响的服务器上运行恶意代码。

Apache Struts是一个开源框架，用于以Java编程语言开发Web应用程序，并被全球企业广泛使用，包括65％的财富100强企业，如沃达丰，洛克希德马丁，维珍航空和IRS。 该漏洞（CVE-2018-11776）位于Apache Struts的核心，由于在某些配置下对Struts框架核心中用户提供的不可信输入的验证不充分而产生。 只需访问受影响的Web服务器上的特制URL，即可允许攻击者执行恶意代码并最终完全控制运行易受攻击的应用程序的目标服务器，从而触发新发现的Apache Struts漏洞。

Struts2漏洞 - 您是否受到影响？ 使用Apache Struts支持的版本（Struts 2.3到Struts 2.3.34，Struts 2.5到Struts 2.5.16）以及一些不受支持的Apache Struts版本的所有应用程序都可能容易受到此漏洞的攻击，即使没有启用其他插件也是如此。

“这个漏洞影响Struts的常用端点，可能会暴露出来，成为恶意黑客开放攻击媒介，”岳谟说。

如果满足以下条件，您的Apache Struts实现容易受到报告的RCE漏洞的影响：

• Struts配置中的alwaysSelectFullNamespace标志设置为true。
• Struts配置文件包含“action”或“url”标记，该标记未指定可选的namespace属性或指定通配符名称空间。

根据研究人员的说法，即使应用程序目前不容易受到攻击，“对Struts配置文件的无意更改可能会使应用程序在未来容易受到攻击。”

这就是为什么你应该认真对待Apache Struts漏洞利用

不到一年前，信用评级机构Equifax公布了其1.47亿消费者的个人详细信息，因为他们未能修补当年早些时候公布的类似Apache Struts漏洞（CVE-2017-5638）。 Equifax违规行为使公司损失超过6亿美元。

Semmle的QL工程联合创始人兼副总裁Pavel Avgustinov表示：“Struts用于面向公众的面向客户的网站，容易识别易受攻击的系统，并且该漏洞很容易被利用。”

“黑客可以在几分钟内找到自己的方式，并从被入侵的系统中泄露数据或进一步攻击。”

针对关键Apache Struts Bug发布补丁

Apache Struts通过发布Struts版本2.3.35和2.5.17修复了该漏洞。迫切建议使用Apache Struts的组织和开发人员尽快升级他们的Struts组件。 我们已经看到以前对Apache Struts中类似关键缺陷的披露如何导致PoC漏洞利用在一天之内发布，并且利用漏洞，使关键基础架构以及客户数据面临风险。 因此，强烈建议用户和管理员将Apache Struts组件升级到最新版本，即使他们认为他们的配置现在不容易受到攻击。 这不是Semmle安全研究团队第一次报告Apache Struts中一个关键的RCE漏洞。不到一年前，该团队在Apache Struts中披露了类似的远程执行代码漏洞（CVE-2017-9805）。