如何看待Struts2遠程代碼執行漏洞(S2-045)的危害 ?
隨便測試下都是伺服器許可權,而且都是政府學校金融類的網站,危害實在是大。
為啥危害大呢,首先就漏洞本身來說可以做到遠程指令執行,這一點就足夠Critical了。但是我想說的還有兩個其他的原因。
第一:受災面積大且嚴重,俗話說得好,一旦j2ee出漏洞,銀行安全部門絕對通宵加班。這話我現在信了,銀行、政府、能源、通信行業系統大多都是外包的,既然是外包相比水平他家也都知道,並不會走嚴格的SDL流程,也就是說前期威脅建模神馬的肯定沒有認認真真做,當然很多人也不在乎這個。這樣的話就暴露出來了很多的問題,再加上我國最近很重視網路空間安全,同時漏洞爆發的時候恰好趕上兩會這種時候,所以你懂的。再加上各大行業系統規模不僅龐大而且複雜,防守很難做到萬無一失,所以這次影響面積大就很好說了,其實每次struts2報critical漏洞基本都是這樣。第二:漏洞利用成本較低,這次s2-045的poc居然飛的這麼快。先來說說時間點:3月6號晚上11點左右某基友跟我說7號s2有漏洞s2-045,7號凌晨官方發布公告,差不多10點多的時候我根據一些擼站朋友的提示寫出來了poc,然後把poc改造成了批量檢測工具,12點吃了個飯回來poc就滿天飛了?!你tm在逗我?正常來說poc在漏洞修復之前是不允許披露的,我就吃了個飯就這樣了?!緊接著就是IDS/WAF一大堆ip被ban了。緊接著我對這些被ban掉的ip逐個查戶口,我發現一個有意思的事情,能夠查到的IP絕大多數來源於白帽子(可以理解,畢竟刷rank),黑產(可以理解,畢竟人家要賺錢),專業滲透團隊(可以理解,畢竟這是人家的工作),還在上小學的小屁孩(wtf?!你tm在逗我,小屁孩不好好上學沒事幹日站?)。。。總之各路人馬都有上至50多歲大爺大媽,下至幾歲的小屁孩。你們說說這個漏洞利用成本有多低?然後這兩天的s2-046好在是different attack vectors for the same vulnerablity,影響不是很大。
我就想說明一點:漏洞影響大除了漏洞本身的質量之外,還包括利用門檻、影響範圍等一系列外界因素。瀉藥要想做一個大範圍被使用的框架,最基本的要素就是安全穩定,但struts卻頻繁出現問題.
帶來的危害只有瘋狂的加班,瘋狂的刷洞,黑產牛和白帽牛的盛宴.
和這些被加班的運維瘋狂的放棄使用這個倒霉框架我們知道這個漏洞是Struts2默認解析上傳文件的Content-Type頭的過程中出現的問題。struts2如果解析這個頭出錯,就會執行錯誤信息中的OGNL代碼。該漏洞危害非常大,而且利用成功率高甚至不需要找上傳點,自己構造上傳包就可以利用,進行遠程命令執行。許可權自然也基本上屬於服務許可權,因為你的命令代碼是web伺服器幫你執行的,它有啥許可權,你也就有啥許可權。
危害高,通常都是root許可權的tomcat,直接就拿到伺服器最高許可權。另外能不用Struts就盡量不用吧
上個大馬那不就是你的伺服器了咩?
7號當天拿到漏洞,20分後群里已經出群掃了..前天046已經出來了...10086114上各種一句話...刷新一下...又多了一堆一句話...
別人我不知道...反正我全國百分之70的勞保信息都脫完了...
當天爆出漏洞,晚上十點公司一台伺服器就遭了,都被建立賬戶遠程登錄了!!!!!然後排查才曉得出了這麼一個漏洞,臨時應對搞到凌晨四點,可怕啊!!!
如果被肉雞,會佔滿帶寬。對外DDos工具,癱瘓伺服器!性質比較惡劣!
肉雞解肉,@我(微信richdad__,後面兩個下劃線),我可以有償幫助你!
我。。。找到近20個ZF的站。。。存在這種漏洞。一覽無餘?趕緊提交。。不敢多看,不敢多動。額會不會被查表?
推薦閱讀:
※CTF有什麼特殊技巧?
※如果作為一名信息安全工作者,會不會怕他的同僚黑他?如何防護?
※物聯網安全拔「牙」實戰——低功耗藍牙(BLE)初探 疑問?
※硬體安全如何學習,智能硬體漏洞挖掘推薦書籍?
※做web滲透測試,kali linux 和woobuntu選擇哪個系統?