如何看待Struts2遠程代碼執行漏洞(S2-045)的危害 ?

隨便測試下都是伺服器許可權,而且都是政府學校金融類的網站,危害實在是大。


為啥危害大呢,首先就漏洞本身來說可以做到遠程指令執行,這一點就足夠Critical了。但是我想說的還有兩個其他的原因。

第一:受災面積大且嚴重,俗話說得好,一旦j2ee出漏洞,銀行安全部門絕對通宵加班。這話我現在信了,銀行、政府、能源、通信行業系統大多都是外包的,既然是外包相比水平他家也都知道,並不會走嚴格的SDL流程,也就是說前期威脅建模神馬的肯定沒有認認真真做,當然很多人也不在乎這個。這樣的話就暴露出來了很多的問題,再加上我國最近很重視網路空間安全,同時漏洞爆發的時候恰好趕上兩會這種時候,所以你懂的。再加上各大行業系統規模不僅龐大而且複雜,防守很難做到萬無一失,所以這次影響面積大就很好說了,其實每次struts2報critical漏洞基本都是這樣。

第二:漏洞利用成本較低,這次s2-045的poc居然飛的這麼快。先來說說時間點:3月6號晚上11點左右某基友跟我說7號s2有漏洞s2-045,7號凌晨官方發布公告,差不多10點多的時候我根據一些擼站朋友的提示寫出來了poc,然後把poc改造成了批量檢測工具,12點吃了個飯回來poc就滿天飛了?!你tm在逗我?正常來說poc在漏洞修復之前是不允許披露的,我就吃了個飯就這樣了?!緊接著就是IDS/WAF一大堆ip被ban了。緊接著我對這些被ban掉的ip逐個查戶口,我發現一個有意思的事情,能夠查到的IP絕大多數來源於白帽子(可以理解,畢竟刷rank),黑產(可以理解,畢竟人家要賺錢),專業滲透團隊(可以理解,畢竟這是人家的工作),還在上小學的小屁孩(wtf?!你tm在逗我,小屁孩不好好上學沒事幹日站?)。。。總之各路人馬都有上至50多歲大爺大媽,下至幾歲的小屁孩。你們說說這個漏洞利用成本有多低?然後這兩天的s2-046好在是different attack vectors for the same vulnerablity,影響不是很大。

我就想說明一點:漏洞影響大除了漏洞本身的質量之外,還包括利用門檻、影響範圍等一系列外界因素。


瀉藥

要想做一個大範圍被使用的框架,最基本的要素就是安全穩定,但struts卻頻繁出現問題.

帶來的危害只有瘋狂的加班,瘋狂的刷洞,黑產牛和白帽牛的盛宴.

和這些被加班的運維瘋狂的放棄使用這個倒霉框架


我們知道這個漏洞是Struts2默認解析上傳文件的Content-Type頭的過程中出現的問題。struts2如果解析這個頭出錯,就會執行錯誤信息中的OGNL代碼。該漏洞危害非常大,而且利用成功率高甚至不需要找上傳點,自己構造上傳包就可以利用,進行遠程命令執行。許可權自然也基本上屬於服務許可權,因為你的命令代碼是web伺服器幫你執行的,它有啥許可權,你也就有啥許可權。


危害高,通常都是root許可權的tomcat,直接就拿到伺服器最高許可權。另外能不用Struts就盡量不用吧


上個大馬那不就是你的伺服器了咩?


7號當天拿到漏洞,20分後群里已經出群掃了..

前天046已經出來了...

10086

114

上各種一句話...刷新一下...又多了一堆一句話...

別人我不知道...反正我全國百分之70的勞保信息都脫完了...


當天爆出漏洞,晚上十點公司一台伺服器就遭了,都被建立賬戶遠程登錄了!!!!!然後排查才曉得出了這麼一個漏洞,臨時應對搞到凌晨四點,可怕啊!!!


如果被肉雞,會佔滿帶寬。對外DDos工具,癱瘓伺服器!性質比較惡劣!


肉雞解肉,@我(微信richdad__,後面兩個下劃線),我可以有償幫助你!


我。。。找到近20個ZF的站。。。存在這種漏洞。一覽無餘?趕緊提交。。不敢多看,不敢多動。額會不會被查表?


推薦閱讀:

CTF有什麼特殊技巧?
如果作為一名信息安全工作者,會不會怕他的同僚黑他?如何防護?
物聯網安全拔「牙」實戰——低功耗藍牙(BLE)初探 疑問?
硬體安全如何學習,智能硬體漏洞挖掘推薦書籍?
做web滲透測試,kali linux 和woobuntu選擇哪個系統?

TAG:數據安全 | 網路安全 | 黑客Hacker |