如何看待Struts2遠程代碼執行漏洞(S2-045)的危害 ？

隨便測試下都是伺服器許可權，而且都是政府學校金融類的網站，危害實在是大。

---

為啥危害大呢，首先就漏洞本身來說可以做到遠程指令執行，這一點就足夠Critical了。但是我想說的還有兩個其他的原因。

第一：受災面積大且嚴重，俗話說得好，一旦j2ee出漏洞，銀行安全部門絕對通宵加班。這話我現在信了，銀行、政府、能源、通信行業系統大多都是外包的，既然是外包相比水平他家也都知道，並不會走嚴格的SDL流程，也就是說前期威脅建模神馬的肯定沒有認認真真做，當然很多人也不在乎這個。這樣的話就暴露出來了很多的問題，再加上我國最近很重視網路空間安全，同時漏洞爆發的時候恰好趕上兩會這種時候，所以你懂的。再加上各大行業系統規模不僅龐大而且複雜，防守很難做到萬無一失，所以這次影響面積大就很好說了，其實每次struts2報critical漏洞基本都是這樣。

第二：漏洞利用成本較低，這次s2-045的poc居然飛的這麼快。先來說說時間點：3月6號晚上11點左右某基友跟我說7號s2有漏洞s2-045，7號凌晨官方發布公告，差不多10點多的時候我根據一些擼站朋友的提示寫出來了poc，然後把poc改造成了批量檢測工具，12點吃了個飯回來poc就滿天飛了？！你tm在逗我？正常來說poc在漏洞修復之前是不允許披露的，我就吃了個飯就這樣了？！緊接著就是IDS/WAF一大堆ip被ban了。緊接著我對這些被ban掉的ip逐個查戶口，我發現一個有意思的事情，能夠查到的IP絕大多數來源於白帽子（可以理解，畢竟刷rank），黑產（可以理解，畢竟人家要賺錢），專業滲透團隊（可以理解，畢竟這是人家的工作），還在上小學的小屁孩（wtf？！你tm在逗我，小屁孩不好好上學沒事幹日站？）。。。總之各路人馬都有上至50多歲大爺大媽，下至幾歲的小屁孩。你們說說這個漏洞利用成本有多低？然後這兩天的s2-046好在是different attack vectors for the same vulnerablity，影響不是很大。

我就想說明一點：漏洞影響大除了漏洞本身的質量之外，還包括利用門檻、影響範圍等一系列外界因素。

---

瀉藥

要想做一個大範圍被使用的框架，最基本的要素就是安全穩定，但struts卻頻繁出現問題.

帶來的危害只有瘋狂的加班，瘋狂的刷洞，黑產牛和白帽牛的盛宴.

和這些被加班的運維瘋狂的放棄使用這個倒霉框架

---

我們知道這個漏洞是Struts2默認解析上傳文件的Content-Type頭的過程中出現的問題。struts2如果解析這個頭出錯，就會執行錯誤信息中的OGNL代碼。該漏洞危害非常大，而且利用成功率高甚至不需要找上傳點，自己構造上傳包就可以利用，進行遠程命令執行。許可權自然也基本上屬於服務許可權，因為你的命令代碼是web伺服器幫你執行的，它有啥許可權，你也就有啥許可權。

---

危害高，通常都是root許可權的tomcat，直接就拿到伺服器最高許可權。另外能不用Struts就盡量不用吧

---

上個大馬那不就是你的伺服器了咩？

---

7號當天拿到漏洞，20分後群里已經出群掃了..

前天046已經出來了...

10086

114

上各種一句話...刷新一下...又多了一堆一句話...

別人我不知道...反正我全國百分之70的勞保信息都脫完了...

---

當天爆出漏洞，晚上十點公司一台伺服器就遭了，都被建立賬戶遠程登錄了！！！！！然後排查才曉得出了這麼一個漏洞，臨時應對搞到凌晨四點，可怕啊！！！

---

如果被肉雞，會佔滿帶寬。對外DDos工具，癱瘓伺服器！性質比較惡劣！

---

肉雞解肉，@我（微信richdad__,後面兩個下劃線），我可以有償幫助你！

---

我。。。找到近20個ZF的站。。。存在這種漏洞。一覽無餘？趕緊提交。。不敢多看，不敢多動。額會不會被查表？

---

推薦閱讀：