安全是有分量的

ddos清洗_ddos清洗设备_如何防

2022-01-12 16:40栏目:行业

ddos清洗_ddos清洗设备_如何防

摘要

2017年9月5日,Apache Struts框架中发现一个严重的远程代码执行漏洞(CVE-2017-9805)。apachestruts是一种流行的用于javaweb应用程序开发的开源框架。从2008年到Apache Struts 2.5.13版(2017年9月5日发布)的所有应用程序框架版本都易受攻击。分析师估计,《财富》100强中至少有65%的公司正在积极使用使用Apache Struts框架构建的应用程序。

成功利用此漏洞可使远程攻击者执行恶意代码并完全控制运行流行Apache Struts代表性状态传输的web服务器(REST)插件。截至本文撰写之时,已有多个针对该漏洞的漏洞利用,包括流行的Metasploit框架插件。

建议所有客户端尽快将其Apache Struts安装更新到2.5.13版本,同时利用提供的缓解策略。Kudelski Security已收到关于此漏洞被用于积极利用web服务器的报告,并期望攻击者(包括网络犯罪行为体)在可预见的未来继续利用此漏洞。

漏洞描述

(CVE-2017-9805),一个关键的远程代码执行漏洞,利用处理未净化数据的反序列化过程,允许将来自HTTP请求或其他套接字的数据反序列化为Java对象。REST插件不对用户控制的数据应用任何类型筛选或净化,传输层的ddos防御软件,允许攻击者在反序列化XML格式数据的过程中强制服务器执行自己的任意代码。

利用特制的XML负载和任何web浏览器或几个开源攻击框架,攻击者可以在使用该框架的任何web服务器上运行任意代码。一旦攻击者获得对服务器的访问权限,他们就可以利用此访问权限进行横向移动、窃取用户登录信息、泄露客户端数据或将web服务器连接到几个活动的linux僵尸网络之一。

受影响的版本

自2008年以来发布的所有Apache Struts版本都存在漏洞。这包括2.5到2.5.12之间的版本

如果web应用程序使用流行的REST插件,华为ddos防御优势,抗ddos防御,则框架易受攻击。

除了最新的Struts部署之外,其他所有部署都易受攻击,但是,为了确定系统是否易受攻击,请执行以下步骤:

1.查找"Struts core.jar"文件

a。使用Linux上的"find"命令或Windows上的Windows资源管理器搜索功能可以找到该文件

2.解压缩struts-core.jar文件

3.使用文本编辑器打开META-INF文件夹>MANIFEST.MF

4.Apache struts版本显示在"Specification version:"行

以验证特定的Apache struts部署使用"REST插件"执行以下步骤:

1.找到"struts.xml"配置文件

a。使用Linux上的"find"命令或Windows上的Windows资源管理器搜索功能可以找到该文件

2.使用以下值搜索"constant":

name="struts.mapper.class"value="rest"/>

另外,重要的是,客户机要意识到,有几个设备(如Cisco ISE和Cisco UC)使用Apache Struts框架,而且可能存在漏洞。Cyber Fusion Center将与我们的合作伙伴密切合作,以识别任何潜在易受攻击的托管或支持安全设备,并与我们的客户进行通信。还建议客户联系供应商,微信ddos防御算法,以了解有关此漏洞和潜在缓解的影响信息。"缓解和响应"Apache软件基金会发布了一个新版本的Apache Struts,版本2.5.13,解决了这个漏洞。Kudelski Security强烈建议尽快升级到Struts的最新版本。由于该漏洞的性质,修补程序修改了apachestruts处理XML数据的方式。因此,Kudelski Security建议对使用Struts框架编写的应用程序进行广泛彻底的测试,以确保在生产环境中应用更新之前所需的功能不会受到影响。

对于不需要在Apache Struts应用程序中解析或处理XML的客户,但是仍然使用REST插件,Kudelski Security建议限制该插件,使其只服务和响应HTML和JSON数据。这可以通过编辑Apache Struts配置文件(Struts.xml)并设置以下"常量"来实现:

常量name="Struts.action.extension"value="xhtml,,json"

作为临时缓解措施,Kudelski Security建议使用Web应用程序防火墙(WAF)的客户端,如F5,应用任何供应商提供的规则来阻止利用此漏洞的尝试。Kudelski安全合作伙伴F5发布了两个ASM签名(200003440和200004174),用于检测和防止利用此漏洞

对其F5设备作为Cyber Fusion Center安全设备管理服务的一部分进行管理的客户端进行攻击,Cyber Fusion Center已创建更改请求,关闭cc手机防御级别调,以便获得授权在托管F5设备上启用这些规则。

Kudelski Security Cyber Fusion Center已确保已更新托管漏洞扫描程序,以识别客户端环境和web应用程序中是否存在此漏洞。

theKudelski Security Cyber Fusion Center继续与我们的合作伙伴合作,开发或部署其他管理和监控安全技术的附加检测方法。

来源

使用lgtm.com(CVE-2017-9805)在Apache Struts中发现的严重安全漏洞

https://lgtm.com/blog/apache_struts_CVE-2017-9805

9月5日2017–Struts 2.5.13正式上市

https://struts.apache.org/announce.html#a20170905

Apache安全公告S2-052

https://cwiki.apache.org/confluence/display/WW/S2-052

Metasploit模块利用漏洞

https://github.com/rapid7/metasploit-framework/commit/5ea83fee5ee8c23ad95608b7e2022db5b48340ef