安全通报

当前位置:首页 > 资讯 > 安全通报

通知公告资源动态新闻动态安全通报

2018-2019-1第一期网络与信息安全简报

发布时间:2018-10-11 文章来源:实验实训中心 点击次数:

一、 安全漏洞

国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 S2-057远程代码执行漏洞(CNVD-2018-15894,对应CVE-2018-11776)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。

漏洞分析

Struts2是第二代基于Model-View-ControllerMVC)模型的java企业级web应用框架,成为国内外较为流行的容器软件中间件。

2018822日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符namespace,可能导致远程代码执行。同理,url标签未设置valueaction值且上层动作未设置或用通配符namespace时也可能导致远程代码执行。

影响范围

漏洞影响的产品版本包括但不限于:Struts 2.3-2.3.34Struts 2.5-2.5.16

处理方法

目前,Apache公司已发布了新版本(Struts 2.3.35Struts 2.5.17)修复了该漏洞,CNVD建议用户及时升级最新版本:

https://cwiki.apache.org/confluence/display/WW/S2-057

 

暂无法及时更新的用户,可采用如下临时解决方案:当上层动作配置中未设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有url标签的valueaction,确保上述namespacevalueaction值均不可控。

二、防御情况(来自WAF、防火墙)

1、告警分类统计报表

图片1.jpg 

2、告警分类统计数据

 

9,根据我校WAF防护结果统计,主要的攻击威胁如下

事件类型

事件次数

服务器信息泄露

246212

HTTP协议违背

98944

SQL注入攻击

22297

COOKIE篡改

18851

WEB构件漏洞攻击

17896

爬虫事件

13206

资源盗链

12670

非法下载

2688

WEB服务器漏洞攻击

1987

路径穿越攻击

1189

敏感信息过滤

1149

Xml攻击防护

1125

命令注入攻击

748

文件非法上传

600

XPATH注入攻击

499

跨站攻击

146

HTTP访问控制事件

133

WEB访问记录

2

总计

440342

1)服务器信息泄露:共拦截246212次; 

2HTTP协议违背:共拦截98944

3SQL注入攻击拦截22297次;

4COOKIE篡改,共拦截18851次。

5WEB构件漏洞攻击,共拦截17896次;

3、防火墙名单

   根据WAF、防火墙的防护情况,针对频繁次数攻击威胁的公网IP进行拉黑处理,9月份拉黑地址134

三、9月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告,上半月境内感染网络病毒的主机数量约为59.4万个。

9 CNCERT 监测发现境内被篡改网站数量为1680个; 境内被植入后门的网站数量为1922个;针对境内网站的仿冒页面数量为2145

四、建议防范措施

根据我校9月份整体网络与信息安全情况及外部网络威胁情况,请相关人员做好相应安全措施,建议如下:

1、多关注新上线的系统,定期检查访问日志,更改弱口令账号密码。

2、各系统管理员检查各种服务器是否使用Apache Struts2,并按处理方法对服务进行升级。