Struts2漏洞解讀:官方惹禍 黑客攻防
隨著蘋果開發者網站的淪陷,已經曝光一周的 Apache Struts2 漏洞再次成為熱門話題,今天有消息稱由于該漏洞被利用,淘寶的數據庫已經被盜,盡管淘寶官方否認了這一說法,但是從烏云漏洞平臺的報告看,該漏洞已經波及到了包括京東、淘寶等在內的大型網站。
Struts 2 應用范圍有多廣?此次漏洞有多嚴重?哪些網站受到了波及?可怕在哪里?
1、什么是 Struts 2 漏洞?
Struts 是 Apache 軟件基金會(ASF)贊助的一個開源項目,通過采用 JavaServlet/JSP 技術,實現基于 Java EEWeb 應用的 MVC 設計模式的應用框架,Struts 2 是 Struts 的下一代產品,是在 struts 1 和 WebWork 的技術基礎上進行了合并的全新的 Struts 2 框架。
Struts 框架廣泛應用于政府、公安、交通、金融行業和運營商的網站建設,作為網站開發的底層模板使用。
此次爆發的漏洞是 Struts 2 的一個遠程執行漏洞,利用這個漏洞,攻擊者可以上傳后門,黑掉一個網站或者盜取用戶數據庫。
2、為什么此次 Struts 2 漏洞影響巨大?
第一,Apache 官方在漏洞公告中直接把漏洞利用代碼公開了,這是一個令人震驚的做法,因為在公布之前還有很多網站沒有及時打上補丁。公布后該漏洞瘋狂傳播,并出現了直接利用該漏洞進行入侵的傻瓜工具,一些未及時更新補丁的網站被入侵。
第二,Apache Struts 2 是一個應用框架,它的漏洞并不像 Windows 一樣,及時發個補丁推送給用戶,更新了就沒事了,而是需要站長和網站維護人員自己去更新這個補丁,國內并不是每個網站的技術人員都會第一時間注意并更新這個漏洞。
第三,在漏洞被公布后黑客們為了展示“戰果”,把大量存在漏洞的網站公布在第三方平臺上,很多之前沒有關注到該漏洞的黑客們開始關注并尋找漏洞。
3、哪些網站中招了?
烏云漏洞平臺最新確認的漏洞名單中,中國電信、中國聯通等運營商部分分站,中科院、工信部、交通部、中國郵政等部分站點,以及騰訊、淘寶、搜狐等大型互聯網公司的部分分站均在列,不過很多分站并不涉及數據庫。
中招的不止是國內網站,蘋果開發者網站“宕機”5 天后,蘋果也終于承認是遭到入侵,業內猜測可能是由于 Stuts2 漏洞,隨后 Ubuntu 的開發者社區也被黑,182 萬用戶數據被盜,盡管數據已經加密,仍然存在一定安全隱患。
此次受影響最嚴重的是京東,在烏云平臺上有十幾個漏洞被提交,涉及的站點包括奢侈品站 360Top、彩票頁面、充值頁面、支付成功頁面等。
4、波及的網站包括一些銀行網站和淘寶等電商網站,對用戶而言是不是很危險?
此次波及的網站中有一部分銀行的分站,并不涉及數據庫,不過如果是存在登錄功能,則黑客可以通過掛馬的方式在用戶登錄過程中盜取銀行賬號和密碼,所以還是有一定危險性。
淘寶網今天發布聲明否認了漏洞被利用的說法。淘寶確實在一些非常邊緣的站點使用過 Stuts 2 框架,但是后來開發了自己的框架,主要業務并沒有受到影響。
5、是否已經有網站被拖庫?
拖庫是指將從數據庫導出數據,各大網站通常會將數據庫進行加密,黑客會將這些數據庫破解并獲得數據。
目前還沒有確切證據標明已經有大型網站的數據庫被拖庫,黑市上也沒有新的數據庫出現,因為漏洞公開時間不長,影響可能要到幾個月后才會顯現。
6、業內傳言
(1)、黑客很忙。很多黑客此前已經掌握了一些網站的漏洞,并獲取了權限,此次 Struts 漏洞泄露后,為了防止其他黑客通過該漏洞也獲得這些網站的權限,這些黑客會主動去修復“肉雞”的漏洞,一方面另一波黑客要爭取搶在漏洞被修復前完成入侵,于是雙方展開了攻防戰,在這期間很多網站發現其漏洞被“自動修復”。
(2)、Apache 作惡。有黑客稱自己在 5 月份已經發現兩個遠程執行漏洞,提交后 Apache 官方只是出了一個聲明確認了該漏洞,但是并未發布補丁。這已經不是 Struts 第一次出現漏洞,但是官方對于安全問題的處理簡單粗暴,甚至需要修補多次才能修好,此次更是“奇葩”到直接公布了漏洞的利用方法。
盡管目前官方發布了補丁,不過按照此前的經驗,該補丁是否可以徹底消除安全隱患還有待觀察。
