2018-2019-1第五期网络与信息安全简报
发布时间:2018-12-07 文章来源:信息服务中心 点击次数:
一、安全漏洞
11月份下半月国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞(CNVD-2016-09997,对应CVE-2016-1000031)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,厂商已发布修复漏洞的版本。
1、漏洞情况分析
Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,成为国内外较为流行的容器软件中间件。
2018年11月5日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(CVE-2016-1000031),该漏洞由Tenable研究团队发现。此漏洞为FileUpload 库中的一个高危漏洞,这个库作为Apache Struts 2的一部分,被用作文件上传的默认机制。攻击者可以在未经授权的情况下,执行任意代码并可获取目标系统的所有权限。
CNVD对该漏洞的综合评级为“高危”。
2、漏洞影响范围
目前,漏洞影响的产品版本包括:
Struts 2.5.12以下版本。
3、漏洞处置建议
目前,Apache公司已发布了新版本(Struts 2.5.12及以上版本,包括Commons FileUpload库的修补版本1.3.3)修复了该漏洞,CNVD建议用户及时升级最新版本:
??????ssues.apache.org/jira/browse/FILEUPLOAD-279
二、防御情况(来自WAF、防火墙)
1、告警分类统计报表
2、告警分类统计数据
下半月,根据我校WAF防护结果统计,主要的攻击威胁如下
事件类型 | 事件次数 |
服务器信息泄露 | 1278254 |
HTTP访问控制事件 | 138533 |
COOKIE篡改 | 82012 |
HTTP协议违背 | 45868 |
资源盗链 | 42369 |
爬虫事件 | 14707 |
敏感信息过滤 | 8654 |
SQL注入攻击 | 6435 |
WEB构件漏洞攻击 | 6223 |
非法下载 | 750 |
总计 | 1623805 |
1)服务器信息泄露:共拦截1278254次;
2)HTTP访问控制事件,共拦截138533次。
3)Cookie篡改,共拦截82012次;
4)HTTP协议违背:共拦截45868次;
5)资源盗链,共拦截42369次;
3、防火墙黑名单
根据WAF、防火墙的防护情况,针对频繁次数攻击威胁的公网IP进行拉黑处理,11月份下半月共拉黑地址46个。
三、下半月病毒动态分析
根据国家互联网应急中心网络病毒活动情况的报告,下半月境内感染网络病毒的主机数量约为49万个。
下半月CNCERT 监测发现境内被篡改网站数量为1402个;境内被植入后门的网站数量为1186个;针对境内网站的仿冒页面数量为3759个。
四、建议防范措施
根据我校11月份下半月整体网络与信息安全情况及外部网络威胁情况,针对本次Apache Struts2的安全漏洞,各系统管理员应尽快核实现有运行系统中是否存在Struts 2.5.12以下版本,并尽快进行补丁更新。