2013年7月17日被許多人稱之為中國互聯(lián)網(wǎng)安全災難日。這一天，成為許多安全運維、黑客的不眠之夜……
此前，據(jù)烏云漏洞報告平臺、SCANV網(wǎng)站安全中心等安全機構發(fā)出的紅色警報顯示：世界知名開源軟件Struts2再曝高危漏洞，該漏洞影響到struts2.0-2.3.15版本，可直接導致服務器被遠程控制，引起數(shù)據(jù)泄漏。這些漏洞可使黑客取得網(wǎng)站服務器的“最高權限”，從而使企業(yè)服務器變成黑客手中的“肉雞”。
Struts 2漏洞一石激起千層浪
Strut是Apache基金會Jakarta項目組的一個開源項目，其采用MVC 模式，幫助java開發(fā)者利用J2EE開發(fā) Web 應用。Struts通過采用Java Servlet/JSP技術，實現(xiàn)了基于Java EE Web應用的Model-View-Controller(MVC)設計模式的應用框架，目前，Struts廣泛應用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機構等網(wǎng)站建設，并作為網(wǎng)站開發(fā)的底層模板使用。
Struts2已經(jīng)并非第一次曝出高危漏洞，其在今年5月底發(fā)布的Struts 2.3.14.2版本、6月初發(fā)布的2.3.14.3版本，都修復了相關的漏洞，而這些漏洞都可能導致執(zhí)行遠程命令、訪問/控制會話以及發(fā)起XSS攻擊等。
然而以往的這些Struts2漏洞，都沒有引起如此次這般巨大的影響。據(jù)360安全專家石曉虹博士介紹，由于Struts2屬于底層框架，其漏洞影響范圍廣、利用難度低，利用該漏洞，“菜鳥”也可以使用攻擊工具直接控制網(wǎng)站服務器，盜取用戶數(shù)據(jù)庫，獲取網(wǎng)站注冊用戶的帳號密碼和個人資料。
與此同時，網(wǎng)絡上已開始出現(xiàn)一些自動化、傻瓜化的Stuts2漏洞攻擊軟件，只要在軟件中填寫存在Struts 2漏洞的網(wǎng)站地址，即可直接執(zhí)行服務器命令，讀取網(wǎng)站數(shù)據(jù)或讓服務器關機等操作。
相關安全機構也紛紛在第一時間發(fā)布Stuts2漏洞的相關信息分析及漏洞補丁下載地址，力圖將漏洞損失控制到最小范圍。
然而，據(jù)烏云平臺的數(shù)據(jù)顯示：本次爆發(fā)的Struts漏洞影響巨大，受影響站點以電商、銀行、門戶、政府居多。國內(nèi)數(shù)十個知名網(wǎng)站已經(jīng)被發(fā)現(xiàn)受該漏洞影響，包括電信、移動、百度、騰訊、京東商城等網(wǎng)站的分站。而蘋果官方也在今天向開發(fā)者發(fā)出郵件稱，其開發(fā)者網(wǎng)站(developer.apple.com)遭到入侵，部分開發(fā)者信息可能已被泄露。有關安全專家認為，此次入侵或與此次爆發(fā)的Apache Struts2漏洞有關。雖然目前尚不清楚蘋果被入侵的真正原因以及影響，但如果其真的與Struts2漏洞有關，一場全球性的互聯(lián)網(wǎng)安全危機或將到來。
Struts 2漏洞來事兇猛為哪般？
至此，本次漏洞波及面之大，受影響范圍之廣，有人將其堪比中國的“棱鏡事件”，可以說，將其稱之為互聯(lián)網(wǎng)的災難并不為過。那么，本次Struts 2高危漏洞為何來勢如此兇猛？
除去網(wǎng)絡安全面臨的攻擊形式日益復雜的原因，首先不得不說的是：國內(nèi)很多網(wǎng)站安全意識仍舊淡薄。正如之前所說，Struts2漏洞并非第一次爆發(fā)，而正是由于之前或許并未造成太大影響，這讓很多網(wǎng)站的安全管理人員心存僥幸。據(jù)了解，國內(nèi)大批網(wǎng)站均存在該漏洞，但這其中，有很多網(wǎng)站連Stuts 2之前的老漏洞都尚未進行過修復，從而在本次Stuts2漏洞的風暴中，將網(wǎng)站注冊用戶信息赤裸裸地暴露在黑客攻擊槍口面前。對于這些網(wǎng)站來講，即便亡羊補牢，也為時晚矣。
而另一方面，有安全專家認為，本次漏洞風暴如此兇猛，還與和Struts官方的不合理做法有關。知名安全專家安全寶聯(lián)合產(chǎn)品副總裁吳瀚清對此次事件發(fā)文表示：“Struts漏洞這次來勢之所以這么兇猛，和Struts官方不負責任的態(tài)度有很大關系。官方這次在自己的漏洞公告中直接把漏洞利用代碼貼出來了，這是一種很罕見的做法。”
據(jù)吳瀚清描述，安全行業(yè)里默認的行規(guī)是“提示漏洞存在，但只公布描述，不公布細節(jié)”。大多數(shù)安全公告連漏洞涉及的代碼都不公布。一般的安全廠商在看到漏洞公告后，可能會通過“補丁對比”，或者是二進制軟件的逆向分析等技術來定位漏洞。這樣做的原因就是為了防止漏洞細節(jié)被黑客看到后，直接利用漏洞攻擊用戶。
一個漏洞對互聯(lián)網(wǎng)的影響大小，與該漏洞是否存在傻瓜化利用工具有關。漏洞的利用工具被傳播的越廣，對互聯(lián)網(wǎng)造成的影響就越大。而正是Struts官方在漏洞公告中直接披露漏洞利用代碼這一罕見的做法，給了黑客更多有機可乘的機會。
“Struts官方披露了漏洞利用方法，首先就讓這個漏洞被大面積利用成為可能。加之這一做法讓很多之前沒有關注這個漏洞的黑客們也開始對其進行關注，他們出于各自的目的，開始找尋存在漏洞的網(wǎng)站?？梢圆豢鋸埖恼f，整個中國互聯(lián)網(wǎng)應該被狠狠的捋了一遍。”吳瀚清在文中寫道。
(參考文章：Struts漏洞后果本不該這么嚴重)
啟示：
正如吳瀚清所說：“本次Struts 2漏洞這次本來不會這么嚴重，過往有些比這更嚴重的漏洞也沒有造成這么惡劣的影響。”
面對網(wǎng)絡攻擊日益復雜的形勢，網(wǎng)絡安全已經(jīng)成為一個不僅僅只關乎技術的問題。科技的發(fā)展是一把雙刃劍，其能造福人類，亦能產(chǎn)生破壞性的功效。而這一點，或許更多的要從我們的意識層面去把握。
對于Struts官方究竟為何要對此次的Struts 2漏洞采取直接披露代碼這樣如此罕見的做法，我們無從而知。但其帶來的不可估量的影響，已經(jīng)足以讓安全業(yè)界對其此次的做法引以為戒。
而面對此次Struts 2漏洞帶來如此之大的影響，也足以給互聯(lián)網(wǎng)業(yè)界信息安全從業(yè)人員帶來警醒：信息安全的警鐘，應時刻長鳴。