2018-2019-1第一期网络与信息安全简报
发布时间:2018-10-11 文章来源:实验实训中心 点击次数:
一、 安全漏洞
国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 S2-057远程代码执行漏洞(CNVD-2018-15894,对应CVE-2018-11776)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。
漏洞分析
Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,成为国内外较为流行的容器软件中间件。
2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符namespace,可能导致远程代码执行。同理,url标签未设置value和action值且上层动作未设置或用通配符namespace时也可能导致远程代码执行。
影响范围
漏洞影响的产品版本包括但不限于:Struts 2.3-2.3.34、Struts 2.5-2.5.16
处理方法
目前,Apache公司已发布了新版本(Struts 2.3.35或Struts 2.5.17)修复了该漏洞,CNVD建议用户及时升级最新版本:
??????splay/WW/S2-057
暂无法及时更新的用户,可采用如下临时解决方案:当上层动作配置中未设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有url标签的value和action,确保上述namespace、value和action值均不可控。
二、防御情况(来自WAF、防火墙)
1、告警分类统计报表
2、告警分类统计数据
9月,根据我校WAF防护结果统计,主要的攻击威胁如下
事件类型 | 事件次数 |
服务器信息泄露 | 246212 |
HTTP协议违背 | 98944 |
SQL注入攻击 | 22297 |
COOKIE篡改 | 18851 |
WEB构件漏洞攻击 | 17896 |
爬虫事件 | 13206 |
资源盗链 | 12670 |
非法下载 | 2688 |
WEB服务器漏洞攻击 | 1987 |
路径穿越攻击 | 1189 |
敏感信息过滤 | 1149 |
Xml攻击防护 | 1125 |
命令注入攻击 | 748 |
文件非法上传 | 600 |
XPATH注入攻击 | 499 |
跨站攻击 | 146 |
HTTP访问控制事件 | 133 |
WEB访问记录 | 2 |
总计 | 440342 |
1)服务器信息泄露:共拦截246212次;
2)HTTP协议违背:共拦截98944次;
3)SQL注入攻击,共拦截22297次;
4)COOKIE篡改,共拦截18851次。
5)WEB构件漏洞攻击,共拦截17896次;
3、防火墙黑名单
根据WAF、防火墙的防护情况,针对频繁次数攻击威胁的公网IP进行拉黑处理,9月份共拉黑地址134个。
三、9月病毒动态分析
根据国家互联网应急中心网络病毒活动情况的报告,上半月境内感染网络病毒的主机数量约为59.4万个。
9月 CNCERT 监测发现境内被篡改网站数量为1680个; 境内被植入后门的网站数量为1922个;针对境内网站的仿冒页面数量为2145个。
四、建议防范措施
根据我校9月份整体网络与信息安全情况及外部网络威胁情况,请相关人员做好相应安全措施,建议如下:
1、多关注新上线的系统,定期检查访问日志,更改弱口令账号密码。
2、各系统管理员检查各种服务器是否使用Apache Struts2,并按处理方法对服务进行升级。