文/鄭先偉

Struts2漏洞已成高校網(wǎng)絡(luò)安全頑疾建議學(xué)校加大信息系統(tǒng)巡查力度

文/鄭先偉

9月教育網(wǎng)運(yùn)行正常，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。近期安全形勢(shì)較為嚴(yán)峻，學(xué)校要加大安全巡查的力度，對(duì)學(xué)校的信息系統(tǒng)進(jìn)行排查，對(duì)于那些有嚴(yán)重安全隱患的信息系統(tǒng)必須及時(shí)采取技術(shù)措施進(jìn)行防范，如果信息系統(tǒng)僅是對(duì)校內(nèi)提供服務(wù)，建議采取校內(nèi)限制訪(fǎng)問(wèn)的措施，來(lái)降低被攻擊的風(fēng)險(xiǎn)。

近期新增嚴(yán)重漏洞評(píng)述：

1.微軟9月的例行安全公告中修復(fù)了其多款產(chǎn)品存在的81個(gè)安全漏洞（嚴(yán)重等級(jí)的21個(gè)），涉及的產(chǎn)品包括，IE瀏覽器、Edge瀏覽器、Windows內(nèi)核、微軟Office辦公軟件、Adobe的Flash播放器、LyncSkype、微軟Exchange服務(wù)器和.NETFramework。其中需要特別關(guān)注的是.NET Framework 遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2017-8759），當(dāng) Microsoft .NET Framework 處理不受信任的輸入時(shí)，存在遠(yuǎn)程執(zhí)行代碼漏洞。成功利用使用 .NET 框架軟件中此漏洞的攻擊者可以控制受影響的系統(tǒng)，進(jìn)而使用當(dāng)前用戶(hù)的權(quán)限執(zhí)行任意命令,因此對(duì)那些用戶(hù)權(quán)限配置較低的用戶(hù)，該漏洞的危害性要低很多。攻擊者可以通過(guò)引誘用戶(hù)點(diǎn)擊特定的惡意文檔來(lái)觸發(fā)漏洞，目前網(wǎng)絡(luò)上已經(jīng)檢測(cè)到利用該漏洞進(jìn)行的攻擊。建議用戶(hù)盡快使用系統(tǒng)的自動(dòng)更新功能進(jìn)行更新。

2.Apache Struts2 REST插件存在S2-052遠(yuǎn)程代碼執(zhí)行漏洞，Struts2是第二代基于Model-View-Controller(MVC)模型的Java企業(yè)級(jí)Web應(yīng)用框架，并成為國(guó)內(nèi)外較為流行的容器軟件中間件。Xstream是一種OXMapping技術(shù)，是用來(lái)處理XML文件序列化的框架,在將JavaBean序列化或?qū)ML文件反序列化的時(shí)候，不需要其他輔助類(lèi)和映射文件。Struts2的REST插件使用帶有XStream例程的XStreamHandler執(zhí)行反序列化操作，但在反序列化過(guò)程中未做任何類(lèi)型過(guò)濾，導(dǎo)致攻擊者可能在反序列化XML負(fù)載時(shí)構(gòu)造惡意的XML內(nèi)容執(zhí)行任意代碼。目前該漏洞的利用代碼已經(jīng)在網(wǎng)絡(luò)上被公布，并且網(wǎng)絡(luò)上已經(jīng)檢測(cè)到針對(duì)該漏洞的大量掃描。不過(guò)從目前網(wǎng)絡(luò)掃描的統(tǒng)計(jì)情況看，啟用了該插件的Struts2網(wǎng)站的比例數(shù)量較低。建議使用了Struts2框架的網(wǎng)站管理員在條件允許的情況下盡快升級(jí)Struts2的版本到最新，下載地址：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13。

2017年8～9月安全投訴事件統(tǒng)計(jì)

3.藍(lán)牙(Bluetooth)協(xié)議被曝出存在多個(gè)安全漏洞，由于是協(xié)議漏洞，會(huì)影響大部分使用了藍(lán)牙功能的操作系統(tǒng)，包括安卓、IOS、Windows、Linux等。攻擊者可通過(guò)藍(lán)牙(Bluetooth)協(xié)議遠(yuǎn)程不經(jīng)過(guò)任何傳統(tǒng)網(wǎng)絡(luò)介質(zhì)發(fā)起攻擊，此類(lèi)攻擊形式被命名為“BlueBorne”。目前各操作系統(tǒng)均已針對(duì)漏洞進(jìn)行了修補(bǔ)，用戶(hù)只需更新操作系統(tǒng)版本即可，如果暫時(shí)無(wú)法更新操作系統(tǒng)版本（如手機(jī)），建議臨時(shí)禁用藍(lán)牙功能。

4.Apache Tomcat是輕量級(jí)的Web服務(wù)，用于支持JSP的網(wǎng)站開(kāi)發(fā)環(huán)境，在高校內(nèi)使用的范圍較為廣泛。Apache Tomcat7.0.81之前的版本中存在信息泄露與遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-12616、CVE-2017-12615），當(dāng)Tomcat中啟用了 VirtualDirContext時(shí)，攻擊者將能通過(guò)發(fā)送精心構(gòu)造的惡意請(qǐng)求，繞過(guò)設(shè)置的相關(guān)安全限制，或是獲取到由VirtualDirContext提供支持資源服務(wù)的JSP源代碼，從而造成代碼信息泄露。如果Tomcat運(yùn)行在Windows操作系統(tǒng)時(shí)，且啟用了HTTP PUT請(qǐng)求方法（例如，將 readonly 初始化參數(shù)由默認(rèn)值設(shè)置為false），攻擊者將有可能通過(guò)精心構(gòu)造的攻擊請(qǐng)求數(shù)據(jù)包向服務(wù)器上傳包含任意代碼的 JSP 文件，JSP文件中的惡意代碼將能被服務(wù)器執(zhí)行,導(dǎo)致服務(wù)器上的數(shù)據(jù)泄露或獲取服務(wù)器權(quán)限。使用了Tomcat作為Web服務(wù)程序的管理員應(yīng)該盡快下載最新版本安裝，下載地址：http://tomcat.apache.org/download-70.cgi#7.0.81。

安全提示Struts2框架的漏洞一直是高校網(wǎng)絡(luò)中存在的安全頑疾，由于學(xué)校中有很多信息系統(tǒng)在開(kāi)發(fā)階段使用了Struts2作為底層框架，而后期運(yùn)行的人員并不清楚底層架構(gòu)無(wú)法判斷漏洞是否存在，如果開(kāi)發(fā)人員離職或是停止技術(shù)支持，那漏洞就可能長(zhǎng)期存在。建議學(xué)校能夠組織相關(guān)力量對(duì)管轄范圍內(nèi)的信息系統(tǒng)進(jìn)行排查，確認(rèn)使用了Struts2框架的網(wǎng)站數(shù)量，并記錄在案，對(duì)這些網(wǎng)站進(jìn)行長(zhǎng)期的跟蹤監(jiān)測(cè)，避免相關(guān)漏洞被人非法利用。

（責(zé)編：高錦）

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）