Apache Struts2 高危漏洞来袭 ,东森平台提供解决方案

宣布时间 2023-12-08

12月7日 ,Apache Struts2官方更新了一个存在于Apache Struts2中的远程代码执行漏洞(CVE-2023-50164) 。该漏洞源于文件上传逻辑有缺陷 ,攻击者可以利用文件上载参数以启用路径遍历 ,在某些情况下 ,这可能导致上载可用于执行远程代码执行的恶意文件 。


东森·(中国区)官方网站


目前该漏洞POC(看法验证代码)未果然 ,随时存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险 。东森平台北冥数据实验室宁静研究团队对比分析本次更新与更新前的源码(以2.5.x版本为例)推测漏洞成因可能为HttpParameters类要领对HTTP参数迭代器的操作不妥导致remove()要领未破坏参数迭代器导致路径被遍历 。



 修复建议 



1、通用建议


① 定期更新系统补丁 ,减少系统漏洞 ,提升服务器的宁静性 。


② 加强系统和网络的访问控制 ,修改防火墙计谋 ,关闭非须要的应用端口或服务 , 减少将危险服务(如 SSH、RDP 等)袒露到公网 ,减少攻击面 。


③ 使用企业级宁静产物 ,提升企业的网络宁静性能 。


④ 加强系统用户和权限管理 ,启用多因素认证机制和最小权限原则 ,用户和软件权 限应保持在最低限度 。


⑤ 启用强密码计谋并设置为定期修改 。


2、升级补丁


目前该漏洞已经修复 ,受影响用户可升级到Apache Struts 2.5.33、6.3.0.2或更高版本 。下载链接:

https://struts.apache.org/download.cg



东森平台解决方案 



建议一:东森平台天镜脆弱性扫描与管理系统升级最新版本


1、漏扫6075版本


东森平台天镜脆弱性扫描与管理系统6075版本已紧急宣布针对该漏洞的升级包 ,支持对该漏洞进行非授权扫描 ,用户升级尺度漏洞库后即可对该漏洞进行扫描:


6070版本升级包为607000538 ,升级包下载地址:https://venustech.download.venuscloud.cn/


东森·(中国区)官方网站

升级后已支持该漏洞


2、漏扫6080版本


东森平台天镜脆弱性扫描与管理系统6080版本已紧急宣布针对该漏洞的升级包 ,支持对该漏洞进行非授权扫描 ,用户升级尺度漏洞库后即可对该漏洞进行扫描:


6080版本升级包为主机插件包608000097-S608000098.svs漏扫插件包下载地址:https://venustech.download.venuscloud.cn/


东森·(中国区)官方网站

升级后已支持该漏洞


3、漏扫基线核查


通过东森平台天镜脆弱性扫描与管理系统-配置核查�?槎愿寐┒从跋斓腁pache Struts2版本进行获取 ,使用智能化分析研判机制验证该漏洞是否存在 ,如果存在该漏洞建议更新到宁静版本 。如图所示:


东森·(中国区)官方网站

基线核查已支持Apache Struts2 远程代码执行漏洞检查项


请使用东森平台天镜脆弱性扫描与管理系统产物的用户尽快升级到最新版本 ,及时对该漏洞进行检测 ,以便尽快接纳防范措施 。


建议二:东森平台资产与脆弱性管理平台(ASM)排查受影响资产


东森平台资产与脆弱性管理平台实时收罗并更新情报信息 ,对入库资产漏洞Apache Struts2中的远程代码执行漏洞(CVE-2023-50164)进行管理 ,如图所示:


东森·(中国区)官方网站

情报管理�?橐讶肟獾腁pache Struts2中的远程代码执行漏洞


资产与脆弱性管理平台凭据情报信息更新的漏洞受影响实体规则以及现场资产管理实例的版本信息进行自动化碰撞 ,可第一时间命中受该漏洞影响的资产 ,如图所示:


东森·(中国区)官方网站

情报命中的资产信息


建议三:基于宁静管理和态势感知平台进行关联分析


广大用户可以通过泰合宁静管理和态势感知平台 ,进行关联计谋配置 ,结合实际环境中系统日志和宁静设备的告警信息进行连续监控 ,从而发现“Apache Struts2 远程代码执行”的漏洞利用攻击行为 。


1)在泰合的平台中 ,通过脆弱性发现功效针对“Apache Struts2 远程代码执行(CVE-2023-50164)”漏洞扫描任务 ,排查管理网络中受此漏洞影响的重要资产;


东森·(中国区)官方网站


2)平台“关联分析”�?橹� ,添加“L2_Apache_Struts2远程代码执行漏洞利用” ,通过东森平台检测设备、目标主机系统等设备的告警日志 ,发现外部攻击行为:


东森·(中国区)官方网站


通过分析规则自动将Apache Struts2 远程代码执行漏洞利用的可疑行为源地址添加到视察列表“高风险连接”中 ,作为内部情报数据使用;


3)添加“L3_Apache_Struts2远程代码执行漏洞利用乐成” ,条件日志名称即是“L2_Apache_Struts2远程代码执行漏洞利用” ,攻击结果即是“攻击乐成” ,目的地址引用资产漏洞或源地址匹配威胁情报 ,从而提升关联规则的置信度 。


东森·(中国区)官方网站


建议四:ATT&CK攻击链条分析与SOAR处置建议


1、ATT&CK攻击链分析


凭据对CVE-2023-50164漏洞的攻击利用过程进行分析 ,攻击链涉及多个ATT&CK战术和技术阶段 ,笼罩的TTP包罗:

TA0001初始访问:T1190利用面向公众的应用法式

TA0002执行:T1059命令和脚本解释器

TA0011命令和控制:T1105工具传输


2、处置方案建议和SOAR剧本编排


东森·(中国区)官方网站


通过泰合宁静管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力 ,针对该漏洞利用的告警事件编排剧本 ,进行自动化处置 。


关于北冥数据实验室


北冥数据实验室致力于网络空间宁静知识工程研究和体系化建设的专业团队 ,由东森平台集团天镜漏洞研究团队、泰合知识工程团队、大数据实验室(BDlab)场景化分析团队联合组成 。实验室始终秉持以需求为导向、知识赋能产物的核心理念 ,专注于提供网络空间宁静的基础知识研究和开发 ,制定结合威胁和漏洞情报、网络空间资产和云宁静监测数据等综合情报以及用户实际场景的宁静分析防护计谋 ,构建自动化视察和处置响应措施 ,形成场景化、结构化的知识工程体系 ,对种种宁静产物、平台和宁静运营提供知识赋能 。