首页 >美食

Struts2漏洞频出祸根是Apache

2019-05-14 22:08:09 | 来源: 美食

日前,Struts2再次爆出安全漏洞,主要影响国内电商、银行、运营商等诸多大型站和为数众多的政府站。国外安全研究人员日前发现,Apache Struts2在处理CVE-的漏洞补丁中存在缺点,会被轻易绕过,可导致任意命令执行。黑客进而能够盗取到站数据,或对站进行DDoS攻击。

4月24日,360站卫士时间添加防御规则,并率先发布临时解决方案;4月25日下午,Apache官方才发布Struts2漏洞的临时修复方案;4月25日晚上,360站安全检测率先发布Struts2漏洞检测工具(。

360站卫士盘点了近年来曝出的高危Struts2漏洞,并分析了Struts2为何屡屡出现重大安全漏洞。

4年前就存在Struts2代码执行问题

Struts2漏洞,这里主要指的是J2EE开源框架struts2出现的命令执行漏洞,危害巨大,可导致远程执行任意系统命令,进而获取系统控制权,数据库控制权,致使信息泄露。所有使用struts2框架开发的系统都受影响。

Struts2的代码执行问题早要追溯到2010年,当时来自Google安全Team的Meder Kydyraliev发现可以通过用unicde编码的形式绕过参数拦截器对特殊字符#的过滤,造成代码履行问题,官方漏洞编号S,我们可以在struts2官方的漏洞公告中看到如下文字,如下图:

虽然Apache官方给出了利用代码,但是对却忽视了这个漏洞的威力,由于官方看到Meder Kydyraliev给出的代码以为就是一个简单的bypass,没有意想到利用此漏洞可以远程执行任意命令,于是随意修改了一下过滤规则便草草了之了。

当时Apache官方是这样修补的,他们用正则将含有\u0023的要求全部过滤掉。这样的修复根本没有起到作用,因为\u0023在传递进程中被转义为\\u0023所以正则根本没匹配上,悲剧的是他们没有意识到这个问题。

好在官方终究发现了ognl表达式的威力,ognl可以调用java静态方法,struts2本身就是一个命令执行漏洞,因而他们修改了一些参数进而限制履行java静态方法。经过研究发现,他们修改了OGNL上下文中一些命名空间中的属性,比如将#_lowStaticMethodAccess设置为true,#context["nyMethodExecution"]设置为false。但是通过unicde编码绕过过滤规则的问题仍然存在。他们以为这样便万事大吉了。

可能是因为Apache冷落了Google安全Team,没过多久,Meder Kydyraliev大神便发飙了,这次他构造了一个可以远程执行任意命令的利用代码提交给Apache官方,因为之前unicode编码绕过的问题一直存在,所以还是S的bypass方式,只不过这次他给出了利用ONGL调用java静态函数履行系统命令的方法,并且在他的blog(当中给出了详细的分析,如图所示:

所以S的修复宣布失败,此漏洞编号S,CVE-。但是官方的修复却很简陋,他们重新修改了正则,封堵了Meder Kydyraliev的利用,但是始终没有从根本上解决问题,他们没有意识OGNL表达式用八进制编码仍然是可以执行的,比如\u0023换成八进制的\43,再次绕过。

这次,Apache官方终究意想到问题的严重性,更加严谨的改写了正则,过滤掉了出现\, @等字符的请求内容,官方修改的正则表达式,如图所示:

伤痕累累的struts2

但是struts2的问题依然存在。

大概是2011年,Meder Kydyraliev再次发飙(CVE-),他提出新的利用思路,借助action实例中的私有变量的set方法履行OGNL调用java静态方法履行任意命令。关于这个问题,其实还牵扯出好多web容器的特性,但是危害依然巨大,此漏洞编号S,CVE-,而官方仍然是通过正则过滤的方式来修复此问题,官方修复如图所示

尔后还出现过S利用struts2标签执行ognl的方式,但是这些漏洞都相对鸡肋,影响范围也就大打折扣了。

事实上struts2框架底层是利用OGNL表达式来实现的,然而OGNL表达式的功能过于强大,导致可以直接调用java静态方法。但是官方为了避免在OGNL表达式中直接调用java静态方法,它在OGNL上下文中内置了几个命名对象。例如,#_memberAccess["allowStaticMethodAccess"]默认被设置为false,#context["nyMethodExecution"]默认被设置为true。

之前的几个漏洞使官方意想到他们做的很多限制都白费,比如上面提到的这几个属性的值可以利用履行OGNL进行修改,我们不难看出上面提到的这两个漏洞都会先设置这两个属性,然后调用java静态方法。

1直到2013年,在S被爆出以后,#_memberAccess["allowStaticMethodAccess"]的属性,使它没有权限被修改。这样看似从根本上解决了问题。但是他们忘记了利用java反射类来访问私有成员变量这种猥琐的方法。关于反射类这里顺带说一下,在这之前还出现过例如S命令履行,不过这其实是Struts2开发模式的一个特性,严格来讲不能算是漏洞,只不过在他的处理逻辑当中用户可以控制执行OGNL,但是默许struts2的开发模式是关闭的,所以此漏洞很鸡肋。但值得一提的是一直到2014年pwntesting的一篇分析文章中给出S的利用方式,真正利用java反射类修改前面那两个属性的奇技淫巧。

另外,还有另一种方法更加干脆,就是ocessBuilder这个类,随便new一个实例然后调用start()方法,便达到命令执行的目的。

还有,去年7月份爆出的S命令执行漏洞。关于这个漏洞,其实是DefaultActionMapper类支持以"action:"、"redirect:"、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式,由于struts2没有对这些前缀做过滤,致使命令履行。

一直到近的S,以及后续的补丁被绕过,又让伤痕累累的struts2火了一把,但是这次问题不是出在ognl履行上,而是换成了操控容器的classLoader属性,这个其跟前面提到的S有点类似,由于struts2框架有这样一个特性,只要接受到用户提交aa=bb这样的要求时,就会通过OGNL去履行对应的setaa方法,所以当用户去提交assLoader.这样的参数时,当然可以操控对应classLoader的属性,至于classLoader,不同的容器有不同的属性,能够控制这些属性是很危险的,比如tomcat的docBase可以控制根目录的位置等等。

关于S的修复,官方发扬了他们一向的风格,继续使用正则表达式这类高端技术过滤用户请求,惋惜还是被攻击者绕过。

就这个问题来言,想对struts2的开发人员说:还是应该关注一下底层代码。至于在S补丁被绕过之后的修复,官方还是用正则,但这次他们要从根本上修复框架问题,所以坐等Apache出终补钉吧。

Apache官方难辞其咎

回顾struts2的漏洞历史,我们发现官方难辞其咎。

首先,开发人员安全意识不强,虽然采取了基本的安全措施,但是形同虚设;其次,官方修复力度不够,给人的感觉总像是在敷衍了事,未能从根本上解决问题;再就是,官方的开放精神确实很震撼,居然直接将漏洞的PoC挂在官上,这样给了很多人进一步研究漏洞利用的机会,这个也是导致问题更加严重的一个缘由。

近两年关于struts2的攻击事件频发,影响包括向移动、电信、联通、各大银、证券等等各大门户站,。由于struts2是一款功能非常强大的j2ee框架,特别是对于广大开发人员,运用非常广泛。所以一旦struts2出现0day,导致互联上出现大面积被入侵、被拖库,信息泄露等事件。对于此问题,建议相关技术人员应及时更新struts2框架版本。有实力的公司自己开发运用框架,避免使用开源框架。

struts2漏洞盘点

影响比较大,利用比较广泛的struts2漏洞:

2010年 S

CVE- XWork ParameterInterceptors bypass allows OGNL statement execution

2012年1月 S

CVE- struts2 DevMod Remote Command Execution Vulnerability

2012年1月 S

CVE- Struts=2.3.1参数拦截器代码执行

2013年 5月 S

CVE- Struts2 = 2.3.14 includeParams属性远程命令执行漏洞

2013年7月 S

CVE- Struts2 = 2.3.15.1 action、redirect、redirectAction前缀远程命令执行漏洞

2014年3月 S

Struts2 = 2.3.16 DoS attacks and ClassLoader manipulation

2014年4月 S

Struts2 = 2.3.16.1 bypass patch(ClassLoader manipulation)

具体参照struts2官提供的漏洞历史:

痛经小腹胀痛治疗
如何解决经期小腹胀痛
如何治经期小腹胀痛

猜你喜欢