登陆 注册

利用条件苛刻!关于Struts远程代码执行漏洞 (S2-059) 的说明

Guy_Psycho 2020-08-14
乐山桑云信息技术有限公司(www.sangyun.net)专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。

此漏洞利用条件苛刻,无法大规模利用。建议客户不必惊慌,及时安装软件更新。

近日,奇安信CERT监测到Apache Struts官方发布安全通告S2-059 Struts远程代码执行漏洞(S2-059、CVE-2019-0230),在 Apache Struts 多个版本中,在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行。该漏洞已传播开来,奇安信CERT安全研究员对此漏洞进行了深入分析,得出结论:此漏洞利用条件苛刻,无法大规模利用。建议客户不必惊慌,及时安装软件更新。


漏洞描述

Apache Struts 2是一个开源的 WEB 应用框架,用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构,应用非常广泛。

近日,奇安信CERT监测到Apache Struts官方发布安全通告修复了 Apache Struts远程代码执行漏洞(S2-059、CVE-2019-0230),在 Apache Struts 多个版本中,在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行。

该漏洞已经传播开来,奇安信CERT安全研究员对此漏洞进行了深入分析,得出结论:此漏洞利用条件苛刻,无法大规模利用。建议客户不必惊慌,及时安装软件更新。

奇安信CERT第一时间复现了CVE-2020-13921漏洞,复现截图如下:

漏洞利用前置条件

1. 需要开启altSyntax功能

2. 需要特定标签的相关属性存在表达式%{skillName},且skillName可控并未做安全验证。


影响范围

2.0.0 <= Apache Struts <= 2.5.20


处置建议

将Apache Struts框架升级至2.5.22版本。


技术分析

Apache Struts2 框架会对一些标签的属性值进行双重解析,如:

<s:url var="url" namespace="/employee" action="list"/><s:a id="%{skillName}" href="%{url}">List available Employees</s:a>

如果skillName值可被攻击者控制,攻击者可以通过传入危险的OGNL表达式实现远程代码执行,不过该漏洞利用条件过于苛刻,奇安信CERT对该漏洞定级为低危,无法造成大规模利用。


产品线解决方案


奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2020.08.14版本,支持对Apache Struts远程代码执行漏洞(S2-059、CVE-2019-0230)的防护,当前规则正在测试中,将于8月14日发布,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台可通过更新入侵防御规则库10283版本,支持对Apache Struts远程代码执行漏洞(S2-059、CVE-2019-0230)的防护,当前规则正在测试中,将于8月14日发布,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。


奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对 Apache Struts远程代码执行漏洞(S2-059、CVE-2019-0230)的防护。


奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至 ” 2008141700” 及以上版本并启用规则ID: 1215401进行检测防御。


奇安信开源卫士已更新

奇安信开源卫士通过更新到20200814. 387版本,支持对Apache Struts远程代码执行漏洞的检测。


奇安信天眼产品解决方案

奇安信天眼新一代安全感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0814. 12212及以上版本。规则名称:Apache Struts2 任意代码执行漏洞(CVE-2016-0785/CVE-2019-0230)、Java框架通用代码执行攻击,规则ID:0x100206F3、0x10020537。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。



参考资料

[1]https://cwiki.apache.org/confluence/display/WW/S2-059


时间线

2020年8月14日,奇安信 CERT发布说明文档




转载自  奇安信 CERT

生成海报
请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net