威脅簡報:有關重要 Apache Struts 弱點 CVE-2018-11776 的資訊

Oct 19, 2018
1 minutes
... views

This post is also available in: English (英語) Nederlands (荷蘭語) Deutsch (德語) Italiano (義大利語) 한국어 (韓語) Español (西班牙語) Türkçe (土耳其語)

情況概述

2018 年 8 月 22 日,Apache Foundation 發佈重要的安全更新 CVE-2018-1176,這是會影響 Apache Struts 2.3 至 2.3.34 版和 2.5 至 2.5.16 版的遠端程式碼執行弱點。Apache Foundation 已敦促各方盡快套用安全更新。

這個部落格提供相關資訊以利組織評估其弱點風險,並向 Palo Alto Networks 客戶提供防護措施,有助於在套用安全更新之前降低風險。Palo Alto Networks 客戶只需部署 2018 年 8 月 24 日發佈的最新弱點特徵碼,即可獲得充分的保護。

 

弱點資訊

Apache Foundation 和安全研究人員 Man Yue Mo 指出,伺服器執行具有弱點的 Apache Struts 版本時,此弱點可以在該伺服器上啟用遠端程式碼執行。攻擊方法是透過向具有弱點的系統發送特製的 URL。在大多數情況下,這表示無需驗證即可入侵此弱點。

攻擊得逞後即可在 Struts 使用的安全脈絡中執行程式碼。在某些情況下,這可能會導致系統遭到完全入侵。

但是,必須注意,在預設設定下無法入侵此弱點。若要成功攻擊系統,必須滿足下列兩項條件:

  1. alwaysSelectFullNamespace 旗標在 Struts 設定中設為「true」。(注意:如果您的應用程式使用常用的 Struts Convention 外掛程式,則外掛程式預設會將此旗標設定為「true」)。
  2. Struts 應用程式會使用未指定命名空間而設定的「動作」,或使用萬用字元命名空間設定的「動作」。此條件適用於 Struts 設定檔案中指定的動作和命名空間。注意:如果您的應用程式使用常見的 Struts Convention 外掛程式,此條件也適用於 Java 程式碼中指定的動作和命名空間。

如果您的 Struts 應用程式不滿足這兩項條件,您的應用程式可能仍然存在弱點,但是目前不會遭受 CVE-2018-11776 的入侵。

尤其是,如果您的應用程式使用常見的 Struts Convention 外掛程式,則相較於不使用該外掛程式的其他 Struts 實作案例,這似乎可能會提高遭到入侵的風險。

 

威脅環境資訊

該弱點於 8 月 22 日與解決該弱點的安全更新一起披露。其中詳細解說此弱點及其目前的入侵方式。另外也提供觀念驗證 (PoC) 程式碼。如上所述,PoC 僅適用於具有弱點且滿足可入侵條件的系統。

有些人注意到,去年在一個安全更新和弱點資訊發佈僅三天後,一個重大的 Struts 弱點即遭到主動攻擊。

目前沒有已知的主動攻擊,而且必須要滿足兩個非預設條件才能入侵此弱點,因此我們所面臨的威脅環境與此不同。

但是,利用現有的 PoC,透過有限的觀察和分析,我們認為在短期內仍可能會出現對於此弱點的入侵。

組織應該對於可能發生的攻擊進行風險評估,直到能夠修補這四個方面為止:

  1. 您是否在使用 Struts Convention 外掛程式?
  2. 它們是否滿足入侵所需的兩項條件?
  3. 目前的 PoC 是否有被武器化或用於攻擊的跡象?
  4. 新的 PoC 或攻擊的發展是否使得入侵所需的兩項條件變成非必要?

 

為 Palo Alto Networks 客戶提供的指導和防護建議

執行具有弱點的 Apache Struts 版本的所有組織都應盡快部署安全更新。

組織可以而且應該根據安全政策和風險評估以及目前可用的資訊,優先安排和部署安全更新。

已在 2018 年 8 月 24 日發佈的內容發行版本 8057 (其中包括 ID 33948 名稱:Apache Struts 2 Remote Code Execution Vulnerability) 中部署弱點特徵碼的 Palo Alto Networks 客戶,將會得到保護,有效防禦目前已知針對該弱點發動的入侵。

我們的客戶仍應按照上述建議部署安全更新,但是可以而且應該立即部署最新的弱點特徵碼,以獲得更完善的保護。由於有這種更完善的保護可供採用,我們的客戶在進行有關安全和安全更新部署的決策,以及對弱點和威脅環境進行風險評估時,可以而且應該對此進行考慮。

一如往常,我們正密切監控情勢,如果更多詳細資訊將會即刻為您奉上。


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.