新的Apache Struts RCE漏洞允许黑客接管Web服务器

Apache Struts是一个用Java编程语言开发web应用程序的开源框架，被全球企业广泛使用，包括沃达丰、洛克希德·马丁、维珍大西洋和IRS等财富100强企业中65%的企业。

脆弱性(CVE-2018-11776)驻留在Apache Struts的核心中，并起源于在特定配置下，对Struts框架核心中用户提供的不受信任输入的验证不足。
新发现的Apache Struts漏洞只需访问受影响web服务器上精心编制的URL即可触发，攻击者可以执行恶意代码，并最终完全控制运行有漏洞应用程序的目标服务器。

Struts2漏洞-您是否受到影响？

所有使用Apache Struts的应用程序，受支持的版本（Struts 2.3到Struts 2.3.34，Struts 2.5到Struts 2.5.16），甚至一些不受支持的Apache Struts版本，即使没有启用其他插件，也可能容易受到此漏洞的攻击。

Yue Mo说：“这个漏洞影响Struts的常用端点，这些漏洞可能会暴露，向恶意黑客开放攻击向量”。

如果Apache Struts实现满足以下条件，则容易受到报告的RCE漏洞的攻击：

• 这个始终选择FullNamespace在Struts配置中，flag设置为true。
• Struts配置文件包含一个“action”或“url”标记，该标记未指定可选的名称空间属性或指定通配符名称空间。

据研究人员称，即使应用程序目前不易受攻击，“对Struts配置文件的无意更改可能会导致应用程序在未来易受攻击”。

以下是您应该认真对待Apache Struts漏洞利用的原因

不到一年前，信用评级机构Equifax披露了其1.47亿消费者的个人信息，因为他们未能修补当年早些时候披露的类似Apache Struts缺陷（CVE-2017-5638）。
Equifax的违约给公司造成了超过6亿美元的损失。

“Struts用于可公开访问的面向客户的网站，易受攻击的系统很容易识别，漏洞也很容易利用，”联合创始人Pavel Avgustinov说；Semmle QL工程副总裁。

“黑客可以在几分钟内找到出路，并从受损系统中过滤数据或发起进一步的攻击”。

针对关键Apache Struts缺陷发布的补丁

Apache Struts在Struts版本2.3.35和2.5.17的发布中修复了该漏洞。迫切建议使用ApacheStruts的组织和开发人员尽快升级其Struts组件。

我们已经看到，之前对Apache Struts中类似关键缺陷的披露如何导致PoC攻击在一天内被公布，并在野外利用该漏洞，使关键基础设施以及客户数据面临风险。

因此，强烈建议用户和管理员将其Apache Struts组件升级到最新版本，即使他们认为自己的配置目前没有漏洞。

这不是Semmle安全研究团队第一次报告Apache Struts中存在严重的RCE缺陷。不到一年前，该团队披露了Apache Struts中类似的远程代码执行漏洞（CVE-2017-9805）。

更新，Apache Struts RCE漏洞PoC发布

一名安全研究人员今天发布了一项针对Apache Struts web应用程序框架中新发现的远程代码执行（RCE）漏洞（CVE-2018-11776）的PoC攻击。