Apache軟件基金會(Apache Software Foundation)於上週三(8/22)修補了編號為CVE-2018-11776的Struts 2安全漏洞,但Recorded Future的安全研究人員上週五(8/24)就在GitHub上發現了該漏洞的概念性驗證攻擊程式。
CVE-2018-11776漏洞被歸類為重大(Critical)漏洞,它會在兩種情況下被觸發,一是當XML配置中未設定命名空間(Namespace),同時上層動作配置沒有或使用通配符號命名空間時,其次是所使用的URL標籤沒有設定行動與值,同時上層動作配置沒有或使用通配符號命名空間時,就可能允許黑客執行遠端程序攻擊,也有機會獲得目標系統的存取權限。
Recorded Future的資深安全架構師Allan Liska說明,這意味著黑客只要在一個HTTP請求中,把自己的命名空間加到URL中就能開採該漏洞,有別於Struts 2去年造成Equifax資料外洩的CVE-2017-5638漏洞,CVE-2018-11776相對容易開採,因為成功的開採完全不需要在Struts上安裝額外的外掛程式。
Liska指出,Struts是個非常受歡迎的Java框架,也許有數億個含有該漏洞的系統,但許多執行Struts的服務器皆屬後端應用服務器,並不是那麼容易辨識,就算是系統所有人也可能錯過。
然而,居心不良的黑客可能會誘騙服務器傳回一個Java堆疊追蹤,或是尋找特定的檔案或目錄來辨識潛在的Struts服務器。
除了部署Apache軟件基金會所釋出的更新程式外,Liska也提出了暫時性的補救措施,亦即確保在Struts 2中設定了命名空間。
率先揭露該漏洞的Man Yue Mo則說,他們尚未證實該概念性驗證攻擊程序是否可行,倘若答案是肯定的,將替黑客帶來攻擊捷徑。
閱讀更多 IT情報局菊長 的文章
