Apache Struts2 出现远程代码执行漏洞,网御星云提供优选解决方案

Apache Struts2 出现远程代码执行漏洞,网御星云提供优选解决方案
2023年12月13日 15:30 网御星云官方微博
语音播报 缩小字体 放大字体 微博 微信 0

漏洞概述

1

基本描述

2023年12月07日Apache Struts2官方更新了一个存在于Apache Struts2中的远程代码执行漏洞(CVE-2023-50164),该漏洞源于文件上传逻辑有缺陷,攻击者可以操纵文件上载参数以启用路径遍历,在某些情况下,可能导致上载可用于执行远程代码执行的恶意文件。CVSS目前暂无评分,请受影响的用户尽快采取措施进行防护。目前该漏洞POC(概念验证代码)未公开,随时存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。该漏洞的综合评级为“高危”。

2

漏洞影响

·Apache Struts2

·2.5.0 - 2.5.32

·6.0.0 - 6.3.0

3

漏洞成因

网御星云北冥数据实验室安全研究团队对比分析本次更新与更新前的源码(以2.5.x版本为例)猜测漏洞成因可能为HttpParameters类方法对HTTP参数迭代器的操作不当导致remove()方法未破坏参数迭代器使得路径被遍历。

4

修复建议

通用建议

a. 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。

b. 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如 SSH、RDP 等)暴露到公网,减少攻击面。

c. 使用企业级安全产品,提升企业的网络安全性能。

d. 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。

e. 启用强密码策略并设置为定期修改。

升级补丁

目前该漏洞已经修复,受影响用户可升级到 Apache Struts 2.5.33、6.3.0.2 或更高版本。

网御星云解决方案

建议一:

基于漏洞扫描产品尽快对资产进行漏洞评估

网御星云漏洞扫描系统V6.0产品

网御星云漏洞扫描系统V6.0产品已紧急发布针对该漏洞的升级包,支持对该漏洞进行非授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:

图1 升级后已支持该漏洞

网御星云飞腾漏洞扫描系统6080版本

网御星云飞腾漏洞扫描系统6080版本已紧急发布针对该漏洞的升级包,支持对该漏洞进行非授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:

图2 升级后已支持该漏洞

漏扫基线核查

通过网御星云漏洞扫描系统-配置核查模块对该漏洞影响的Apache Struts2版本进行获取,使用智能化分析研判机制验证该漏洞是否存在,如果存在该漏洞建议更新到安全版本。如图3所示:

图3  基线核查已支持Apache Struts2 远程代码执行漏洞检查项

请使用网御星云漏洞扫描系统的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。

建议二:

网御星云资产与脆弱性管理平台(ASM)排查受影响资产

网御星云资产与脆弱性管理平台实时采集并更新情报信息,对入库资产漏洞Apache Struts2中的远程代码执行漏洞(CVE-2023-50164)进行管理,如图4所示:

图4  情报管理模块已入库的Apache Struts2中的远程代码执行漏洞

网御星云资产与脆弱性管理平台根据情报信息更新的漏洞受影响实体规则,以及现场资产管理实例的版本信息进行自动化碰撞,可第一时间命中受该漏洞影响的资产,如图5所示:

图5  情报命中的资产信息

建议三:

基于安全管理和态势感知平台进行关联分析

广大用户可以通过网御星云安全管理和态势感知平台,进行关联策略配置,结合实际环境中系统日志和安全设备的告警信息进行持续监控,从而发现“Apache Struts2 远程代码执行”的漏洞利用攻击行为。

1)在网御星云的平台中,通过脆弱性发现功能针对“Apache Struts2 远程代码执行(CVE-2023-50164)”漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产;

2)平台“关联分析”模块中,添加“L2_Apache_Struts2远程代码执行漏洞利用”,通过网御星云检测设备、目标主机系统等设备的告警日志,发现外部攻击行为:

通过分析规则自动将Apache Struts2 远程代码执行漏洞利用的可疑行为源地址添加到观察列表“高风险连接”中,作为内部情报数据使用;

3)添加“L3_Apache_Struts2远程代码执行漏洞利用成功”,条件日志名称等于“L2_Apache_Struts2远程代码执行漏洞利用”,攻击结果等于“攻击成功”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度。

建议四:

ATT&CK攻击链条分析与SOAR处置建议

ATT&CK攻击链分析

根据对CVE-2023-50164漏洞的攻击利用过程进行分析,攻击链涉及多个ATT&CK战术和技术阶段,覆盖的TTP包括:

TA0001初始访问:T1190利用面向公众的应用程序

TA0002执行:T1059命令和脚本解释器

TA0011命令和控制:T1105工具传输

处置方案建议和SOAR剧本编排

通过网御星云安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。

北冥数据实验室

网御星云北冥数据实验室始终秉持以需求为导向、知识赋能产品的核心理念,专注于提供网络空间安全的基础知识研究和开发,制定结合威胁和漏洞情报、网络空间资产和云安全监测数据等综合情报以及用户实际场景的安全分析防护策略,构建自动化调查和处置响应措施,形成场景化、结构化的知识工程体系,对各类安全产品、平台和安全运营提供知识赋能。

北冥数据实验室将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与网御星云联系。

财经自媒体联盟更多自媒体作者

新浪财经头条意见反馈留言板

4000520066 欢迎批评指正

关于头条 | 如何入驻 | 发稿平台 | 奖励机制 版权声明 | 用户协议 | 帮助中心
Copyright © 1996-2019 SINA Corporation
All Rights Reserved 新浪公司 版权所有
新浪首页 语音播报 相关新闻 返回顶部