2013年7月17日被许多人称之为中国互联网安全灾难日。这一天,成为许多安全运维、黑客的不眠之夜……
此前,据乌云漏洞报告平台、SCANV网站安全中心等安全机构发出的红色警报显示:世界知名开源软件Struts2再曝高危漏洞,该漏洞影响到struts2.0-2.3.15版本,可直接导致服务器被远程控制,引起数据泄漏。这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变成黑客手中的“肉鸡”。
Struts 2漏洞一石激起千层浪
Strut是Apache基金会Jakarta项目组的一个开源项目,其采用MVC 模式,帮助java开发者利用J2EE开发 Web 应用。Struts通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架,目前,Struts广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。
Struts2已经并非第一次曝出高危漏洞,其在今年5月底发布的Struts 2.3.14.2版本、6月初发布的2.3.14.3版本,都修复了相关的漏洞,而这些漏洞都可能导致执行远程命令、访问/控制会话以及发起XSS攻击等。
然而以往的这些Struts2漏洞,都没有引起如此次这般巨大的影响。据360安全专家石晓虹博士介绍,由于Struts2属于底层框架,其漏洞影响范围广、利用难度低,利用该漏洞,“菜鸟”也可以使用攻击工具直接控制网站服务器,盗取用户数据库,获取网站注册用户的帐号密码和个人资料。
与此同时,网络上已开始出现一些自动化、傻瓜化的Stuts2漏洞攻击软件,只要在软件中填写存在Struts 2漏洞的网站地址,即可直接执行服务器命令,读取网站数据或让服务器关机等操作。
相关安全机构也纷纷在第一时间发布Stuts2漏洞的相关信息分析及漏洞补丁下载地址,力图将漏洞损失控制到最小范围。
然而,据乌云平台的数据显示:本次爆发的Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多。国内数十个知名网站已经被发现受该漏洞影响,包括电信、移动、百度、腾讯、京东商城等网站的分站。而苹果官方也在今天向开发者发出邮件称,其开发者网站(developer.apple.com)遭到入侵,部分开发者信息可能已被泄露。有关安全专家认为,此次入侵或与此次爆发的Apache Struts2漏洞有关。虽然目前尚不清楚苹果被入侵的真正原因以及影响,但如果其真的与Struts2漏洞有关,一场全球性的互联网安全危机或将到来。
Struts 2漏洞来事凶猛为哪般?
至此,本次漏洞波及面之大,受影响范围之广,有人将其堪比中国的“棱镜事件”,可以说,将其称之为互联网的灾难并不为过。那么,本次Struts 2高危漏洞为何来势如此凶猛?
除去网络安全面临的攻击形式日益复杂的原因,首先不得不说的是:国内很多网站安全意识仍旧淡薄。正如之前所说,Struts2漏洞并非第一次爆发,而正是由于之前或许并未造成太大影响,这让很多网站的安全管理人员心存侥幸。据了解,国内大批网站均存在该漏洞,但这其中,有很多网站连Stuts 2之前的老漏洞都尚未进行过修复,从而在本次Stuts2漏洞的风暴中,将网站注册用户信息赤裸裸地暴露在黑客攻击枪口面前。对于这些网站来讲,即便亡羊补牢,也为时晚矣。
而另一方面,有安全专家认为,本次漏洞风暴如此凶猛,还与和Struts官方的不合理做法有关。知名安全专家安全宝联合产品副总裁吴瀚清对此次事件发文表示:“Struts漏洞这次来势之所以这么凶猛,和Struts官方不负责任的态度有很大关系。官方这次在自己的漏洞公告中直接把漏洞利用代码贴出来了,这是一种很罕见的做法。”
据吴瀚清描述,安全行业里默认的行规是“提示漏洞存在,但只公布描述,不公布细节”。大多数安全公告连漏洞涉及的代码都不公布。一般的安全厂商在看到漏洞公告后,可能会通过“补丁对比”,或者是二进制软件的逆向分析等技术来定位漏洞。这样做的原因就是为了防止漏洞细节被黑客看到后,直接利用漏洞攻击用户。
一个漏洞对互联网的影响大小,与该漏洞是否存在傻瓜化利用工具有关。漏洞的利用工具被传播的越广,对互联网造成的影响就越大。而正是Struts官方在漏洞公告中直接披露漏洞利用代码这一罕见的做法,给了黑客更多有机可乘的机会。
“Struts官方披露了漏洞利用方法,首先就让这个漏洞被大面积利用成为可能。加之这一做法让很多之前没有关注这个漏洞的黑客们也开始对其进行关注,他们出于各自的目的,开始找寻存在漏洞的网站。可以不夸张的说,整个中国互联网应该被狠狠的捋了一遍。”吴瀚清在文中写道。
(参考文章:Struts漏洞后果本不该这么严重)
启示:
正如吴瀚清所说:“本次Struts 2漏洞这次本来不会这么严重,过往有些比这更严重的漏洞也没有造成这么恶劣的影响。”
面对网络攻击日益复杂的形势,网络安全已经成为一个不仅仅只关乎技术的问题。科技的发展是一把双刃剑,其能造福人类,亦能产生破坏性的功效。而这一点,或许更多的要从我们的意识层面去把握。
对于Struts官方究竟为何要对此次的Struts 2漏洞采取直接披露代码这样如此罕见的做法,我们无从而知。但其带来的不可估量的影响,已经足以让安全业界对其此次的做法引以为戒。
而面对此次Struts 2漏洞带来如此之大的影响,也足以给互联网业界信息安全从业人员带来警醒:信息安全的警钟,应时刻长鸣。
