CCERT月報：Struts2漏洞已成高校網絡安全頑疾（轉）

　Struts2漏洞已成高校網絡安全頑疾 建議學校加大信息系統巡查力度

　　9月教育網運行正常，未發現影響嚴重的安全事件。近期安全形勢較爲嚴峻，學校要加大安全巡查的力度，對學校的信息系統進行排查，對於那些有嚴重安全隱患的信息系統必須及時採起技術措施進行防範，若是信息系統僅是對校內提供服務，建議採起校內限制訪問的措施，來下降被攻擊的風險。

　　近期新增嚴重漏洞評述：

　　1.微軟9月的例行安全公告中修復了其多款產品存在的81個安全漏洞（嚴重等級的21個），涉及的產品包括，IE瀏覽器、Edge瀏覽器、Windows內核、微軟Office辦公軟件、Adobe的Flash播放器、LyncSkype、微軟Exchange服務器和.NETFramework。其中須要特別關注的是.NET Framework遠程執行代碼漏洞（CVE-2017-8759），當Microsoft.NET Framework處理不受信任的輸入時，存在遠程執行代碼漏洞。成功利用使用.NET框架軟件中此漏洞的攻擊者能夠控制受影響的系統，進而使用當前用戶的權限執行任意命令，所以對那些用戶權限配置較低的用戶，該漏洞的危害性要低不少。攻擊者能夠經過引誘用戶點擊特定的惡意文檔來觸發漏洞，目前網絡上已經檢測到利用該漏洞進行的攻擊。建議用戶儘快使用系統的自動更新功能進行更新。

　　2.Apache Struts2 REST插件存在S2-052遠程代碼執行漏洞，Struts2是第二代基於Model-View-Controller（MVC）模型的Java企業級Web應用框架，併成爲國內外較爲流行的容器軟件中間件。

　　Xstream是一種OXMapping技術，是用來處理XML文件序列化的框架，在將JavaBean序列化或將XML文件反序列化的時候，不須要其餘輔助類和映射文件。Struts2的REST插件使用帶有XStream例程的XStreamHandler執行反序列化操做，但在反序列化過程當中未作任何類型過濾，致使攻擊者可能在反序列化XML負載時構造惡意的XML內容執行任意代碼。目前該漏洞的利用代碼已經在網絡上被公佈，而且網絡上已經檢測到針對該漏洞的大量掃描。不過從目前網絡掃描的統計狀況看，啓用了該插件的Struts2網站的比例數量較低。建議使用了Struts2框架的網站管理員在條件容許的狀況下儘快升級Struts2的版本到最新，下載地址：https：//cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13。

　　3.藍牙（Bluetooth）協議被曝出存在多個安全漏洞，因爲是協議漏洞，會影響大部分使用了藍牙功能的操做系統，包括安卓、IOS、Windows、Linux等。攻擊者可經過藍牙（Bluetooth）協議遠程不通過任何傳統網絡介質發起攻擊，此類攻擊形式被命名爲「BlueBorne」。目前各操做系統均已針對漏洞進行了修補，用戶只需更新操做系統版本便可，若是暫時沒法更新操做系統版本（如手機），建議臨時禁用藍牙功能。

　　4.Apache Tomcat是輕量級的Web服務，用於支持JSP的網站開發環境，在高校內使用的範圍較爲普遍。Apache Tomcat7.0.81以前的版本中存在信息泄露與遠程代碼執行漏洞（CVE-2017-1261六、CVE-2017-12615），當Tomcat中啓用了VirtualDirContext時，攻擊者將能經過發送精心構造的惡意請求，繞過設置的相關安全限制，或是獲取到由VirtualDirContext提供支持資源服務的JSP源代碼，從而形成代碼信息泄露。若是Tomcat運行在Windows操做系統時，且啓用了HTTPPUT請求方法（例如，將readonly初始化參數由默認值設置爲false），攻擊者將有可能經過精心構造的攻擊請求數據包向服務器上傳包含任意代碼的JSP文件，JSP文件中的惡意代碼將能被服務器執行，致使服務器上的數據泄露或獲取服務器權限。使用了Tomcat做爲Web服務程序的管理員應該儘快下載最新版本安裝，下載地址：http：//tomcat.apache.org/download-70.cgi#7.0.81。

　　安全提示

　　Struts2框架的漏洞一直是高校網絡中存在的安全頑疾，因爲學校中有不少信息系統在開發階段使用了Struts2做爲底層框架，然後期運行的人員並不清楚底層架構沒法判斷漏洞是否存在，若是開發人員離職或是中止技術支持，那漏洞就可能長期存在。建議學校可以組織相關力量對管轄範圍內的信息系統進行排查，確認使用了Struts2框架的網站數量，並記錄在案，對這些網站進行長期的跟蹤監測，避免相關漏洞被人非法利用。

做者單位爲中國教育和科研計算機網應急響應組