Apache Struts2 高危漏洞來襲,啟明星辰提供解決方案

發布時間 2023-12-08

12月7日,Apache Struts2官方更新了一個存在于Apache Struts2中的遠程代碼執行漏洞(CVE-2023-50164)。該漏洞源于文件上傳邏輯有缺陷,攻擊者可以操縱文件上載參數以啟用路徑遍歷,在某些情況下,這可能導致上載可用于執行遠程代碼執行的惡意文件。



目前該漏洞POC(概念驗證代碼)未公開,隨時存在被網絡黑產利用進行挖礦木馬和僵尸網絡等攻擊行為的風險。啟明星辰北冥數據實驗室安全研究團隊對比分析本次更新與更新前的源碼(以2.5.x版本為例)猜測漏洞成因可能為HttpParameters類方法對HTTP參數迭代器的操作不當導致remove()方法未破壞參數迭代器導致路徑被遍歷。



 修復建議 



1、通用建議


① 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。


② 加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務, 減少將危險服務(如 SSH、RDP 等)暴露到公網,減少攻擊面。


③ 使用企業級安全產品,提升企業的網絡安全性能。


④ 加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權 限應保持在最低限度。


⑤ 啟用強密碼策略并設置為定期修改。


2、升級補丁


目前該漏洞已經修復,受影響用戶可升級到Apache Struts 2.5.33、6.3.0.2或更高版本。下載鏈接:

https://struts.apache.org/download.cg



啟明星辰解決方案 



建議一:啟明星辰天鏡脆弱性掃描與管理系統升級最新版本


1、漏掃6075版本


啟明星辰天鏡脆弱性掃描與管理系統6075版本已緊急發布針對該漏洞的升級包,支持對該漏洞進行非授權掃描,用戶升級標準漏洞庫后即可對該漏洞進行掃描:


6070版本升級包為607000538,升級包下載地址:https://venustech.download.venuscloud.cn/


升級后已支持該漏洞


2、漏掃6080版本


啟明星辰天鏡脆弱性掃描與管理系統6080版本已緊急發布針對該漏洞的升級包,支持對該漏洞進行非授權掃描,用戶升級標準漏洞庫后即可對該漏洞進行掃描:


6080版本升級包為主機插件包608000097-S608000098.svs漏掃插件包下載地址:https://venustech.download.venuscloud.cn/


升級后已支持該漏洞


3、漏掃基線核查


通過啟明星辰天鏡脆弱性掃描與管理系統-配置核查模塊對該漏洞影響的Apache Struts2版本進行獲取,使用智能化分析研判機制驗證該漏洞是否存在,如果存在該漏洞建議更新到安全版本。如圖所示:


基線核查已支持Apache Struts2 遠程代碼執行漏洞檢查項


請使用啟明星辰天鏡脆弱性掃描與管理系統產品的用戶盡快升級到最新版本,及時對該漏洞進行檢測,以便盡快采取防范措施。


建議二:啟明星辰資產與脆弱性管理平臺(ASM)排查受影響資產


啟明星辰資產與脆弱性管理平臺實時采集并更新情報信息,對入庫資產漏洞Apache Struts2中的遠程代碼執行漏洞(CVE-2023-50164)進行管理,如圖所示:


情報管理模塊已入庫的Apache Struts2中的遠程代碼執行漏洞


資產與脆弱性管理平臺根據情報信息更新的漏洞受影響實體規則以及現場資產管理實例的版本信息進行自動化碰撞,可第一時間命中受該漏洞影響的資產,如圖所示:


情報命中的資產信息


建議三:基于安全管理和態勢感知平臺進行關聯分析


廣大用戶可以通過泰合安全管理和態勢感知平臺,進行關聯策略配置,結合實際環境中系統日志和安全設備的告警信息進行持續監控,從而發現“Apache Struts2 遠程代碼執行”的漏洞利用攻擊行為。


1)在泰合的平臺中,通過脆弱性發現功能針對“Apache Struts2 遠程代碼執行(CVE-2023-50164)”漏洞掃描任務,排查管理網絡中受此漏洞影響的重要資產;



2)平臺“關聯分析”模塊中,添加“L2_Apache_Struts2遠程代碼執行漏洞利用”,通過啟明星辰檢測設備、目標主機系統等設備的告警日志,發現外部攻擊行為:



通過分析規則自動將Apache Struts2 遠程代碼執行漏洞利用的可疑行為源地址添加到觀察列表“高風險連接”中,作為內部情報數據使用;


3)添加“L3_Apache_Struts2遠程代碼執行漏洞利用成功”,條件日志名稱等于“L2_Apache_Struts2遠程代碼執行漏洞利用”,攻擊結果等于“攻擊成功”,目的地址引用資產漏洞或源地址匹配威脅情報,從而提升關聯規則的置信度。



建議四:ATT&CK攻擊鏈條分析與SOAR處置建議


1、ATT&CK攻擊鏈分析


根據對CVE-2023-50164漏洞的攻擊利用過程進行分析,攻擊鏈涉及多個ATT&CK戰術和技術階段,覆蓋的TTP包括:

TA0001初始訪問:T1190利用面向公眾的應用程序

TA0002執行:T1059命令和腳本解釋器

TA0011命令和控制:T1105工具傳輸


2、處置方案建議和SOAR劇本編排



通過泰合安全管理和態勢感知平臺內置SOAR自動化或半自動化編排聯動響應處置能力,針對該漏洞利用的告警事件編排劇本,進行自動化處置。


關于北冥數據實驗室


北冥數據實驗室致力于網絡空間安全知識工程研究和體系化建設的專業團隊,由啟明星辰集團天鏡漏洞研究團隊、泰合知識工程團隊、大數據實驗室(BDlab)場景化分析團隊聯合組成。實驗室始終秉持以需求為導向、知識賦能產品的核心理念,專注于提供網絡空間安全的基礎知識研究和開發,制定結合威脅和漏洞情報、網絡空間資產和云安全監測數據等綜合情報以及用戶實際場景的安全分析防護策略,構建自動化調查和處置響應措施,形成場景化、結構化的知識工程體系,對各類安全產品、平臺和安全運營提供知識賦能。