關于Apache Struts 2 S2-032漏洞威脅監測和應急處置的情況公告

發布日期:2016-05-30首頁 > 安全資(zī)訊

4月底,Apache Struts 2 S2-032遠程代碼執行漏洞(CNVD-2016-02506,CVE-2016-3081,以下(xià)簡稱S2-032漏洞 )的利用代碼被披露并在短時間内迅速傳播。CNVD秘書(shū)處——國家互聯網應急中(zhōng)心(CNCERT)組織CNVD成員(yuán)單位和合作夥伴對漏洞攻擊威脅進行監測并開(kāi)展了應急處置工(gōng)作,現将有關情況通報如下(xià):

一(yī)、攻擊威脅監測情況

根據CNCERT在互聯網上的監測結果,近一(yī)周來(4月30日00:00至5月6日16:00),互聯網上針對該漏洞的攻擊和掃描嘗試保持在高位狀态。盡管後續評估認爲本次S2-032漏洞較以往S2-016漏洞的檢出率要低得多,但針對特定目标的搜尋(如:利用搜索引擎查找.action頁面)以及後續的攻擊掃描仍然在黑客地下(xià)産業或網絡安全從業者中(zhōng)持續進行。從CNCERT近期監測到的後門事件數量看,近一(yī)周被境内被植入後門的網站數量出現激增,暫不排除與S2-032漏洞攻擊的關聯可能性。

圖片1.png

圖 近一(yī)周S2-032攻擊和掃描次數監測統計(來源:CNCERT)

圖片2.png

圖 近一(yī)個月境内網站被植入後門數量統計(來源:CNCERT)

根據CNVD技術組成員(yuán)單位——上海交通大(dà)學網絡信息中(zhōng)心在教育網内的抽樣檢測結果,對706個采用Apache Struts 2作爲容器軟件的網站進行測試,有29個網站存在S2-032漏洞,占比4.1%,而存在S2-016及更低版本遠程代碼執行漏洞(如:S2-005)的網站有196個,占比28%。爲進一(yī)步評估S2-032漏洞在各行業領域單位網站的分(fēn)布情況,CNVD委托WOOYUN平台對相關數據進行檢測和整理,如下(xià)表所示,境内共有817個網站存在S2-032漏洞,其中(zhōng)按行業領域劃分(fēn),位于前三位(注:不計其他企業)的是政府部門(占比28.3%)、互聯網企業(25.3%)、教育機構(9.8%)。

行業領域 數量 百分(fēn)比
政府部門 231 28.3%
教育機構 80 9.8%
金融行業 57 7.0%
保險行業 15 1.8%
證券行業 7 0.9%
能源行業 4 0.5%
交通行業 48 5.9%
電(diàn)信運營商(shāng) 59 7.2%
互聯網企業 206 25.2%
其他企業 110 13.5%
總計 817 100.0%

表 S-032漏洞網站數量按行業領域統計(來源:wooyun平台)

二、應急處置情況

4月27日,CNVD組織成員(yuán)單位開(kāi)展漏洞應急相關工(gōng)作,相關單位工(gōng)作反饋情況如下(xià)表所示。至5月6日,各成員(yuán)單位共計向CNVD反饋累計超過230個受漏洞影響的黨政機關和重要行業單位網站,其中(zhōng)奇虎360、安恒信息、深信服科技反饋數量位居前三。此外(wài)。根據深信服科技在用戶側的攻擊監測情況,針對S2-032漏洞的攻擊行爲同時也伴随着針對以往Apache Struts 2高危漏洞(如:S2-016)的同步攻擊嘗試。

成員(yuán)單位 漏洞分(fēn)析 檢測普查 攻擊監測
安恒信息  
深信服科技
綠盟科技    
奇虎360  
恒安嘉新  
安天科技  
天融信  
華三公司    
上海交通大(dà)學    

表 CNVD成員(yuán)單位漏洞應急協作反饋情況

根據各方彙總結果,CNVD依托CNCERT國家中(zhōng)心和分(fēn)中(zhōng)心渠道在近一(yī)周内共處置346起涉及黨政機關和重要行業單位網站的S2-032漏洞事件。根據Wooyun平台近日核驗結果,各行業領域單位在接收到S2-032漏洞風險通報後的修複或防護百分(fēn)比如下(xià)表所示,其中(zhōng)金融、保險、證券、能源行業單位修複或防護比例爲100%:

行業領域 修複或防護百分(fēn)比
政府部門 93.7%
教育機構 96.6%
金融行業 100.0%
保險行業 100.0%
證券行業 100.0%
能源行業 100.0%
交通行業 96.7%
電(diàn)信運營商(shāng) 95.5%
互聯網企業 94.35
其他企業 93.1%

表 漏洞修複或防護情況按行業領域統計(來源:Wooyun平台)

三、S2-032漏洞應急情況小(xiǎo)結

針對本次S2-032漏洞的應急工(gōng)作,有如下(xià)小(xiǎo)結:

(一(yī))S2-032漏洞由于影響軟件版本和網站配置條件的限制,實際影響遠不及以往造成大(dà)規模影響的Java反序列化漏洞以及S2-016、S2-005遠程代碼執行漏洞,但同樣吸引了大(dà)量的互聯網攻擊和掃描嘗試。

(二)漏洞細節的披露時間和方式考驗網絡安全從業者的行爲準則。盡管從廠商(shāng)官方發布漏洞公告至公布利用代碼有約一(yī)周時間,但相對于國内互聯網安全發展水平,漏洞修複和應急時間仍然較爲急促,不适當的漏洞細節發布對大(dà)量互聯網站造成直接危害,客觀上制造了威脅熱點。

(三)國内網絡安全監管機構和應急組織要進一(yī)步加大(dà)漏洞風險的通報和處置力度,各行業領域也要不斷提高應急響應意識,同時要積極擴大(dà)應急服務行業覆蓋面,加強網絡邊界防護以及雲防護技術的研究和應用。

附:參考鏈接:

http://struts.apache.org/docs/s2-032.html

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02506