Apache Struts2中的关键漏洞让黑客接管了Web服务器

ApacheStruts是一个免费的、开源的、模型-视图-控制器（MVC）框架，用于用支持REST、AJAX和JSON的Java编程语言开发web应用程序。

该漏洞（CVE-2017-9805）是一个编程错误，存在于Struts处理来自不可信源的数据的方式中。具体来说，Struts REST插件在正确反序列化XML有效负载时无法处理它们。

自2008年以来的所有Apache Struts版本（Struts 2.1.2-Struts 2.3.33、Struts 2.5-Struts 2.5.12）都受到影响，使得所有使用框架REST插件的web应用程序都容易受到远程攻击者的攻击。

LGTM的一名安全研究人员发现了这个漏洞，据他说，Struts框架正被“数量惊人、种类繁多的组织”使用，包括洛克希德·马丁公司、沃达丰公司、维珍大西洋公司和美国国税局。

LGTM安全研究人员Man Yue Mo说：“最重要的是，攻击者极易利用这个漏洞：你只需要一个web浏览器。”。

攻击者只需提交特定格式的恶意XML代码即可触发目标服务器上的漏洞。

成功利用该漏洞可使攻击者完全控制受影响的服务器，最终使攻击者渗透到同一网络上的其他系统。

Mo表示，该漏洞是Java中的不安全反序列化，类似于Chris Frohoff和Gabriel Lawrence在2015年发现的Apache Commons Collections中的漏洞，该漏洞还允许执行任意代码。

近年来，许多Java应用程序都受到多个类似漏洞的影响。

由于Struts版本2.5.13中已修补了此漏洞，因此强烈建议管理员尽快升级其Apache Struts安装。

研究人员尚未公布有关该漏洞的更多技术细节和概念证明，这给了管理员足够的时间升级他们的系统。