一、 安全漏洞

国家信息安全漏洞共享平台（CNVD）收录了Apache Struts2 S2-057远程代码执行漏洞（CNVD-2018-15894，对应CVE-2018-11776）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。

漏洞分析

Struts2是第二代基于Model-View-Controller（MVC）模型的java企业级web应用框架，成为国内外较为流行的容器软件中间件。

2018年8月22日，Apache Strust2发布最新安全公告，Apache Struts2存在远程代码执行的高危漏洞（CVE-2018-11776），该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时，namespace值未被设置且在上层动作配置（Action Configuration）中未设置或用通配符namespace，可能导致远程代码执行。同理，url标签未设置value和action值且上层动作未设置或用通配符namespace时也可能导致远程代码执行。

影响范围

漏洞影响的产品版本包括但不限于：Struts 2.3-2.3.34、Struts 2.5-2.5.16

处理方法

目前，Apache公司已发布了新版本（Struts 2.3.35或Struts 2.5.17）修复了该漏洞，CNVD建议用户及时升级最新版本：

??????splay/WW/S2-057

暂无法及时更新的用户，可采用如下临时解决方案:当上层动作配置中未设置或使用通配符namespace时，验证所有XML配置中的namespace，同时在JSP中验证所有url标签的value和action，确保上述namespace、value和action值均不可控。

二、防御情况（来自WAF、防火墙）

1、告警分类统计报表

2、告警分类统计数据

9月，根据我校WAF防护结果统计，主要的攻击威胁如下

1）服务器信息泄露：共拦截246212次； 

2）HTTP协议违背：共拦截98944次；

3）SQL注入攻击，共拦截22297次；

4）COOKIE篡改，共拦截18851次。

5）WEB构件漏洞攻击，共拦截17896次；

3、防火墙黑名单

   根据WAF、防火墙的防护情况，针对频繁次数攻击威胁的公网IP进行拉黑处理，9月份共拉黑地址134个。

三、9月病毒动态分析

根据国家互联网应急中心网络病毒活动情况的报告，上半月境内感染网络病毒的主机数量约为59.4万个。

9月 CNCERT 监测发现境内被篡改网站数量为1680个； 境内被植入后门的网站数量为1922个；针对境内网站的仿冒页面数量为2145个。

四、建议防范措施

根据我校9月份整体网络与信息安全情况及外部网络威胁情况，请相关人员做好相应安全措施，建议如下：

1、多关注新上线的系统，定期检查访问日志，更改弱口令账号密码。

2、各系统管理员检查各种服务器是否使用Apache Struts2，并按处理方法对服务进行升级。