Apache Struts2 高危误差来袭,优发国际网站官网提供解决计划

宣布时间 2023-12-08

12月7日,Apache Struts2官方更新了一个保存于Apache Struts2中的远程代码执行误差(CVE-2023-50164)。该误差源于文件上传逻辑有缺陷,攻击者可以使用文件上载参数以启用路径遍历,在某些情形下,这可能导致上载可用于执行远程代码执行的恶意文件。


优发国际·随优而动一触即发


现在该误差POC(看法验证代码)未果真,随时保存被网络黑产使用举行挖矿木马和僵尸网络等攻击行为的危害。优发国际网站官网北冥数据实验室清静研究团队比照剖析本次更新与更新前的源码(以2.5.x版本为例)推测误差成因可能为HttpParameters类要领对HTTP参数迭代器的操作不当导致remove()要领未破损参数迭代器导致路径被遍历。



 修复建议 



1、通用建议


① 按期更新系统补丁,镌汰系统误差,提升服务器的清静性。


② 增强系统和网络的会见控制,修改防火墙战略,关闭非须要的应用端口或服务, 镌汰将危险服务(如 SSH、RDP 等)袒露到公网,镌汰攻击面。


③ 使用企业级清静产品,提升企业的网络清静性能。


④ 增强系统用户和权限治理,启用多因素认证机制和最小权限原则,用户和软件权 限应坚持在最低限度。


⑤ 启用强密码战略并设置为按期修改。


2、升级补丁


现在该误差已经修复,受影响用户可升级到Apache Struts 2.5.33、6.3.0.2或更高版本。下载链接:

https://struts.apache.org/download.cg



优发国际网站官网解决计划 



建议一:优发国际网站官网天镜懦弱性扫描与治理系统升级最新版本


1、漏扫6075版本


优发国际网站官网天镜懦弱性扫描与治理系统6075版本已紧迫宣布针对该误差的升级包,支持对该误差举行非授权扫描,用户升级标准误差库后即可对该误差举行扫描:


6070版本升级包为607000538,升级包下载地点:https://venustech.download.venuscloud.cn/


优发国际·随优而动一触即发

升级后已支持该误差


2、漏扫6080版本


优发国际网站官网天镜懦弱性扫描与治理系统6080版本已紧迫宣布针对该误差的升级包,支持对该误差举行非授权扫描,用户升级标准误差库后即可对该误差举行扫描:


6080版本升级包为主机插件包608000097-S608000098.svs漏扫插件包下载地点:https://venustech.download.venuscloud.cn/


优发国际·随优而动一触即发

升级后已支持该误差


3、漏扫基线核查


通过优发国际网站官网天镜懦弱性扫描与治理系统-设置核查模块对该误差影响的Apache Struts2版本举行获取,使用智能化剖析研判机制验证该误差是否保存,若是保存该误差建议更新到清静版本。如图所示:


优发国际·随优而动一触即发

基线核查已支持Apache Struts2 远程代码执行误差检查项


请使用优发国际网站官网天镜懦弱性扫描与治理系统产品的用户尽快升级到最新版本,实时对该误差举行检测,以便尽快接纳提防步伐。


建议二:优发国际网站官网资产与懦弱性治理平台(ASM)排查受影响资产


优发国际网站官网资产与懦弱性治理平台实时收罗并更新情报信息,对入库资产误差Apache Struts2中的远程代码执行误差(CVE-2023-50164)举行治理,如图所示:


优发国际·随优而动一触即发

情报治理模块已入库的Apache Struts2中的远程代码执行误差


资产与懦弱性治理平台凭证情报信息更新的误差受影响实体规则以及现场资产治理实例的版本信息举行自动化碰撞,可第一时间掷中受该误差影响的资产,如图所示:


优发国际·随优而动一触即发

情报掷中的资产信息


建议三:基于清静治理和态势感知平台举行关联剖析


宽大用户可以通过泰合清静治理和态势感知平台,举行关联战略设置,团结现真相形中系统日志和清静装备的告警信息举行一连监控,从而发明“Apache Struts2 远程代码执行”的误差使用攻击行为。


1)在泰合的平台中,通过懦弱性发明功效针对“Apache Struts2 远程代码执行(CVE-2023-50164)”误差扫描使命,排查治理网络中受此误差影响的主要资产;


优发国际·随优而动一触即发


2)平台“关联剖析”模块中,添加“L2_Apache_Struts2远程代码执行误差使用”,通过优发国际网站官网检测装备、目的主机系统等装备的告警日志,发明外部攻击行为:


优发国际·随优而动一触即发


通太过析规则自动将Apache Struts2 远程代码执行误差使用的可疑行为源地点添加到视察列表“高危害毗连”中,作为内部情报数据使用;


3)添加“L3_Apache_Struts2远程代码执行误差使用乐成”,条件日志名称即是“L2_Apache_Struts2远程代码执行误差使用”,攻击效果即是“攻击乐成”,目的地点引用资产误差或源地点匹配威胁情报,从而提升关联规则的置信度。


优发国际·随优而动一触即发


建议四:ATT&CK攻击链条剖析与SOAR处置惩罚建议


1、ATT&CK攻击链剖析


凭证对CVE-2023-50164误差的攻击使用历程举行剖析,攻击链涉及多个ATT&CK战术和手艺阶段,笼罩的TTP包括:

TA0001初始会见:T1190使用面向公众的应用程序

TA0002执行:T1059下令和剧本诠释器

TA0011下令和控制:T1105工具传输


2、处置惩罚计划建媾和SOAR剧本编排


优发国际·随优而动一触即发


通过泰合清静治理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置惩罚能力,针对该误差使用的告警事务编排剧本,举行自动化处置惩罚。


关于北冥数据实验室


北冥数据实验室致力于网络空间清静知识工程研究和系统化建设的专业团队,由优发国际网站官网集团天镜误差研究团队、泰合知识工程团队、大数据实验室(BDlab)场景化剖析团队团结组成。实验室始终秉持以需求为导向、知识赋能产品的焦点理念,专注于提供网络空间清静的基础知识研究和开发,制订团结威胁和误差情报、网络空间资产和云清静监测数据等综合情报以及用户现实场景的清静剖析防护战略,构建自动化视察和处置惩罚响应步伐,形成场景化、结构化的知识工程系统,对种种清静产品、平台和清静运营提供知识赋能。