Struts2漏洞频出或因Apache底层代码编写不严.docVIP

日前，Struts2再次爆出安全漏洞，主要影响国内电商、银行、运营商等诸多大型网站和为数众多的政府网站。国外安全研究人员日前发现，ApacheStruts2在处理CVE-2014-0094的漏洞补丁中存在缺陷，会被轻易绕过，可导致任意命令执行。黑客进而能够窃取到网站数据，或者对网站进行DDoS攻击。 4月24日，360网站卫士第一时间添加防御规则，并率先发布临时解决方案;4月25日下午，Apache官方才发布Struts2漏洞的临时修复方案;4月25日晚上，360网站安全检测率先发布“Struts2漏洞检测”工具(。 360网站卫士盘点了近年来曝出的高危Struts2漏洞，并分析了Struts2为什么屡屡出现重大安全漏洞。 4年前就存在Struts2代码执行问题 Struts2漏洞，这里主要指的是J2EE开源框架struts2出现的命令执行漏洞，危害巨大，可导致远程执行任意系统命令，进而获取系统控制权，数据库控制权，导致信息泄露。所有使用struts2框架开发的系统都受影响。 Struts2的代码执行问题最早要追溯到2010年，当时来自Google安全Team的MederKydyraliev发现可以通过用unicde编码的形式绕过参数拦截器对特殊字符“#”的过滤，造成代码执行问题，官方漏洞编号S2-003，我们可以在struts2官方的漏洞公告中看到如下文字，如下图： 虽然Apache官方给出了利用代码，但是对却忽视了这个漏洞的威力，因为官方看到MederKydyraliev给出的代码以为就是一个简单的bypass，没有意识到利用此漏洞可以远程执行任意命令，于是随意修改了一下过滤规则便草草了之了。 当时Apache官方是这样修补的，他们用正则将含有“\u0023”的请求全部过滤掉。这样的修复根本没有起到作用，因为“\u0023”在传递过程中被转义为“\\u0023”所以正则根本没匹配上，悲剧的是他们没有意识到这个问题。 好在官方终于发现了ognl表达式的威力，ognl可以调用java静态方法，struts2本身就是一个命令执行漏洞，于是他们修改了一些参数进而限制执行java静态方法。经过研究发现，他们修改了OGNL上下文中一些命名空间中的属性，比如将#_memberAccess.allowStaticMethodAccess设置为true，thodAccessor.denyMethodExecution]设置为false。但是通过unicde编码绕过过滤规则的问题依然存在。他们以为这样便万事大吉了。 可能是因为Apache冷落了Google安全Team，没过多久，MederKydyraliev大神便发飙了，这次他构造了一个可以远程执行任意命令的利用代码提交给Apache官方，因为之前unicode编码绕过的问题一直存在，所以还是S2-003的bypass方式，只不过这次他给出了利用ONGL调用java静态函数执行系统命令的方法，并且在他的blog(当中给出了详细的分析，如图所示： 所以S2-003的修复宣告失败，此漏洞编号S2-005，CVE-2010-1870。但是官方的修复却很简陋，他们重新修改了正则，封堵了MederKydyraliev的利用，但是始终没有从根本上解决问题，他们没有意识OGNL表达式用八进制编码依然是可以执行的，比如”\u0023”换成八进制的“\43”，再次绕过。 这次，Apache官方终于意识到问题的严重性，更加严谨的改写了正则，过滤掉了出现\,@等字符的请求内容，官方修改的正则表达式，如图所示： 伤痕累累的struts2 但是struts2的问题依然存在。 大概是2011年，MederKydyraliev再次发飙(CVE-2011-3923)，他提出新的利用思路，借助action实例中的私有变量的set方法执行OGNL调用java静态方法执行任意命令。关于这个问题，其实还牵扯出好多web容器的特性，但是危害依然巨大，此漏洞编号S2-009，CVE-2011-3923，而官方依然是通过正则过滤的方式来修复此问题，官方修复如图所示 此后还出现过S2-013利用struts2标签执行ognl的方式，但是这些漏洞都相对鸡肋，影响范围也就大打折扣了。 事实上struts2框架底层是利用OGNL表达式来实现的，然而OGNL表达式的功能过于强大，导致可以直接调用java静态方法。但是官方为了防止在OGNL表达式中直接调用java静态方法，它在OGNL上下文中内置了几个命名对象。例如，#_memberAccess[allowStaticMethodAccess]默认被设置为false，thodAccessor.denyMethodExecution]默认被设置为true。 之前的几个漏洞使官方意识到