原标题:Apache Struts2再度爆发高风险漏洞,HITCON Zeroday通报:已有台湾金融业者受骇
台湾HITCON Zeroday漏洞通报平台表示,台湾已经有使用Struts2框架的银行业者,遭到骇客大规模的IP扫描,一旦银行业者没有修补相关漏洞,骇客就可以成功入侵该银行网站并窃取相关资料、置入后门程式。
用J2EE开发框架Apache Struts2的网站伺服器的网管人员注意,如果网站伺服器所使用的框架版本是Struts 2.3.5 、Struts 2.3.31、Struts 2.5~Struts 2.5.10等版本,因为Apache基金会公布,上述相关版本都存在一个编号S2-045的漏洞(CVE-2017-5638),骇客可以轻易远端执行恶意程式码(RCE)、成功入侵网站,网站管理人员都应儘速升级到最新版本框架,以策安全。
台湾漏洞发布平台HITCON Zeroday发言人翁浩正表示,目前已经接收到台湾已经有多家银行业者的网站服务,遭到骇客进行大规模的IP扫描,如果台湾的银行网站使用有问题的Struts2框架版本且没有即时更新到最新版本,骇客就可以成功入侵并掌控银行伺服器。他也说,在台湾除了银行业外,包括券商、电商业者等,使用Struts2框架的业者也非常多,都应该保持警戒、立即修补相关漏洞。
S2-045的漏洞可以导致网站资料外洩、被植入木马程式等风险
骇客利用S2-045的漏洞,除了可以成功窃取银行网站资料库的资料外,翁浩正指出,不论是资料外洩、窜改网页、植入后门或木马程式,将该网站作为发动DoS攻击的傀儡网站等,甚至先行潜伏一段时间再伺机而动,「这一切的风险,都是因为有问题的Struts2开发框架没有进行程式修补的缘故。」他说。
翁浩正表示,目前网站上已经有许多成功验证(POC)S2-045漏洞的攻击程式,骇客只需要透过一个点击,就可以成功入侵网站伺服器,S2-045的漏洞风险也可说是历年之最。
他也呼吁,所有使用Apache Struts2框架的网站伺服器管理员,应该儘速升级到最新的Struts 2.3.32版或者是Struts 2.5.10.1版;如果网站伺服器无法立即更新,企业也应该使用类似WAF设备,针对攻击程式进行调整后阻挡骇客这一波的攻击手法。
距离上一次(2016年4月)因为高风险的Struts2漏洞大爆发,使得全球网站管理员又必须熬夜修补漏洞,不过才1年的时间,但Struts2造成的资安风险,这不是第一次,也不会是最后一次,甚至于,最早可以追溯到2010年,每年都至少有一次,因为Struts2漏洞导致企业必须进行网路伺服器漏洞修补的情况发生。
由于Struts2是应用非常广泛的J2EE框架,但近年来层出不穷的漏洞修补事件,都和最早的程式开发人员没有写「安全的程式」习惯有关係;虽然Struts2是开源框架并由Apache基金会负责维运,但是基金会并没有足够的能力解决已经存在的漏洞,也无力进行百分之百的修补,再加上,许多Struts2可以利用的远端执行程式非常简单,攻击工具也非常容易创造并大量散布使用,都是Struts2为什幺年年都有爆发资安事件的原因之一。
?
iThome Security
相关:
12日就是植树节了!农委会林业试验所与梧桐环境整合基金会等合作,将于9、12日分别在新竹火车站、台中高铁站,由20名国际学生与国际环保组织志工发赠1000株台湾原生树苗。植树节与友善地球绿色行动连结,林试所推动
网络资安解决方案厂商趋势科技公布2016年资讯安全总评报告,发现勒索病毒家族数量飙升7倍,造成全球企业损失金额高达10亿美元,台湾遭受此攻击次数更排名全球前20%。趋势科技日前发布年度资讯安全总评报告“2016年资
6县市中小学生学校午餐“4章1Q”食材本学期先试办,9月起全国上路;为落实1万件源头食材送验,农粮署与农业药物毒物试验所今起分6梯次,要教会282家团膳业者送验流程。农委会预计9月起全国中、小学营养午餐使用4章
2017台北国际工具机展览会今天(7日)在台北登场,副总统陈建仁表示,期望台湾机械产业在今年能够顺利站上兆元产业,为台湾带来新气象,而此事需要政府、民间共同努力。副总统陈建仁表示,台北国际工具机展览会是台湾
北京地铁骂人事件通报男子已真诚道歉因未成年免于处罚。因“用脏话辱骂女孩”、“抢夺手机”、“强行推搡女孩”等劣行,5日以来,北京地铁十号线一男子在网络上引起声讨。3月6日晚间,北京市公安局官方微博通报称,已