文/鄭先偉

Struts2漏洞已成高校網(wǎng)絡(luò)安全頑疾建議學(xué)校加大信息系統(tǒng)巡查力度

文/鄭先偉

9月教育網(wǎng)運行正常，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。近期安全形勢較為嚴(yán)峻，學(xué)校要加大安全巡查的力度，對學(xué)校的信息系統(tǒng)進行排查，對于那些有嚴(yán)重安全隱患的信息系統(tǒng)必須及時采取技術(shù)措施進行防范，如果信息系統(tǒng)僅是對校內(nèi)提供服務(wù)，建議采取校內(nèi)限制訪問的措施，來降低被攻擊的風(fēng)險。

近期新增嚴(yán)重漏洞評述：

1.微軟9月的例行安全公告中修復(fù)了其多款產(chǎn)品存在的81個安全漏洞（嚴(yán)重等級的21個），涉及的產(chǎn)品包括，IE瀏覽器、Edge瀏覽器、Windows內(nèi)核、微軟Office辦公軟件、Adobe的Flash播放器、LyncSkype、微軟Exchange服務(wù)器和.NETFramework。其中需要特別關(guān)注的是.NET Framework 遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2017-8759），當(dāng) Microsoft .NET Framework 處理不受信任的輸入時，存在遠(yuǎn)程執(zhí)行代碼漏洞。成功利用使用 .NET 框架軟件中此漏洞的攻擊者可以控制受影響的系統(tǒng)，進而使用當(dāng)前用戶的權(quán)限執(zhí)行任意命令,因此對那些用戶權(quán)限配置較低的用戶，該漏洞的危害性要低很多。攻擊者可以通過引誘用戶點擊特定的惡意文檔來觸發(fā)漏洞，目前網(wǎng)絡(luò)上已經(jīng)檢測到利用該漏洞進行的攻擊。建議用戶盡快使用系統(tǒng)的自動更新功能進行更新。

2.Apache Struts2 REST插件存在S2-052遠(yuǎn)程代碼執(zhí)行漏洞，Struts2是第二代基于Model-View-Controller(MVC)模型的Java企業(yè)級Web應(yīng)用框架，并成為國內(nèi)外較為流行的容器軟件中間件。Xstream是一種OXMapping技術(shù)，是用來處理XML文件序列化的框架,在將JavaBean序列化或?qū)ML文件反序列化的時候，不需要其他輔助類和映射文件。Struts2的REST插件使用帶有XStream例程的XStreamHandler執(zhí)行反序列化操作，但在反序列化過程中未做任何類型過濾，導(dǎo)致攻擊者可能在反序列化XML負(fù)載時構(gòu)造惡意的XML內(nèi)容執(zhí)行任意代碼。目前該漏洞的利用代碼已經(jīng)在網(wǎng)絡(luò)上被公布，并且網(wǎng)絡(luò)上已經(jīng)檢測到針對該漏洞的大量掃描。不過從目前網(wǎng)絡(luò)掃描的統(tǒng)計情況看，啟用了該插件的Struts2網(wǎng)站的比例數(shù)量較低。建議使用了Struts2框架的網(wǎng)站管理員在條件允許的情況下盡快升級Struts2的版本到最新，下載地址：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13。

2017年8～9月安全投訴事件統(tǒng)計

3.藍(lán)牙(Bluetooth)協(xié)議被曝出存在多個安全漏洞，由于是協(xié)議漏洞，會影響大部分使用了藍(lán)牙功能的操作系統(tǒng)，包括安卓、IOS、Windows、Linux等。攻擊者可通過藍(lán)牙(Bluetooth)協(xié)議遠(yuǎn)程不經(jīng)過任何傳統(tǒng)網(wǎng)絡(luò)介質(zhì)發(fā)起攻擊，此類攻擊形式被命名為“BlueBorne”。目前各操作系統(tǒng)均已針對漏洞進行了修補，用戶只需更新操作系統(tǒng)版本即可，如果暫時無法更新操作系統(tǒng)版本（如手機），建議臨時禁用藍(lán)牙功能。

4.Apache Tomcat是輕量級的Web服務(wù)，用于支持JSP的網(wǎng)站開發(fā)環(huán)境，在高校內(nèi)使用的范圍較為廣泛。Apache Tomcat7.0.81之前的版本中存在信息泄露與遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-12616、CVE-2017-12615），當(dāng)Tomcat中啟用了 VirtualDirContext時，攻擊者將能通過發(fā)送精心構(gòu)造的惡意請求，繞過設(shè)置的相關(guān)安全限制，或是獲取到由VirtualDirContext提供支持資源服務(wù)的JSP源代碼，從而造成代碼信息泄露。如果Tomcat運行在Windows操作系統(tǒng)時，且啟用了HTTP PUT請求方法（例如，將 readonly 初始化參數(shù)由默認(rèn)值設(shè)置為false），攻擊者將有可能通過精心構(gòu)造的攻擊請求數(shù)據(jù)包向服務(wù)器上傳包含任意代碼的 JSP 文件，JSP文件中的惡意代碼將能被服務(wù)器執(zhí)行,導(dǎo)致服務(wù)器上的數(shù)據(jù)泄露或獲取服務(wù)器權(quán)限。使用了Tomcat作為Web服務(wù)程序的管理員應(yīng)該盡快下載最新版本安裝，下載地址：http://tomcat.apache.org/download-70.cgi#7.0.81。

安全提示Struts2框架的漏洞一直是高校網(wǎng)絡(luò)中存在的安全頑疾，由于學(xué)校中有很多信息系統(tǒng)在開發(fā)階段使用了Struts2作為底層框架，而后期運行的人員并不清楚底層架構(gòu)無法判斷漏洞是否存在，如果開發(fā)人員離職或是停止技術(shù)支持，那漏洞就可能長期存在。建議學(xué)校能夠組織相關(guān)力量對管轄范圍內(nèi)的信息系統(tǒng)進行排查，確認(rèn)使用了Struts2框架的網(wǎng)站數(shù)量，并記錄在案，對這些網(wǎng)站進行長期的跟蹤監(jiān)測，避免相關(guān)漏洞被人非法利用。

（責(zé)編：高錦）

（作者單位為中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）