危險(xiǎn)！互聯(lián)網(wǎng)再曝“驚天漏洞”

    多家知名網(wǎng)站告急，電商網(wǎng)站或成重災(zāi)區(qū)
   
    蘋果淪陷、淘寶淪陷、網(wǎng)易淪陷、樂蜂淪陷、百合網(wǎng)淪陷……近日，一個(gè)名為“Struts 2”的安全漏洞不僅讓眾多知名網(wǎng)站陷入安全危機(jī)，也讓金山安全中心、瑞星互聯(lián)網(wǎng)攻防實(shí)驗(yàn)室、360互聯(lián)網(wǎng)安全中心等信息安全防護(hù)機(jī)構(gòu)同時(shí)拉響了紅色警報(bào)。什么是Struts 2？據(jù)介紹，這是多個(gè)存在于網(wǎng)站應(yīng)用框架Struts中的底層軟件漏洞，這個(gè)漏洞影響力很大卻偏偏利用難度低，利用該漏洞，“菜鳥”也可以使用攻擊工具直接控制網(wǎng)站服務(wù)器，盜取用戶數(shù)據(jù)庫(kù)，獲取網(wǎng)站注冊(cè)用戶的賬號(hào)密碼和個(gè)人資料。也正是因此，“Struts 2”被互聯(lián)網(wǎng)安全領(lǐng)域人士看作是“互聯(lián)網(wǎng)歷史上又一重大安全危機(jī)”。

    Struts 2漏洞恐危及多家電商

    據(jù)南方日?qǐng)?bào)記者了解， Struts是Apache基金會(huì)Jakarta項(xiàng)目組的一個(gè)開源項(xiàng)目，它采用MVC 模式，幫助java開發(fā)者利用J2EE開發(fā)Web應(yīng)用。目前，Struts廣泛應(yīng)用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機(jī)構(gòu)等網(wǎng)站建設(shè)，并作為網(wǎng)站開發(fā)的底層模板使用。瑞星安全專家介紹，本次曝出的2個(gè)漏洞是由于縮寫的導(dǎo)航和重定向前綴“action：”、“redirect：”、“redirectAction：”造成的。瑞星安全專家表示，由于這些參數(shù)前綴的內(nèi)容沒有被正確過濾，導(dǎo)致黑客可以通過漏洞執(zhí)行命令，獲取目標(biāo)服務(wù)器的信息，并進(jìn)一步取得服務(wù)器最高控制權(quán)。屆時(shí)，被攻擊網(wǎng)站的數(shù)據(jù)庫(kù)將面臨全面泄密的威脅，同時(shí)黑客還可以通過重定向漏洞的手段，對(duì)其他網(wǎng)民進(jìn)行釣魚攻擊或掛馬攻擊。

    360安全專家石曉虹博士在接受采訪時(shí)表示，由于Struts 2屬于底層框架，其漏洞影響范圍廣、利用難度低，“菜鳥”也可以使用攻擊工具直接控制網(wǎng)站服務(wù)器，盜取用戶數(shù)據(jù)庫(kù)。“2011年底多家網(wǎng)站‘密碼庫(kù)’泄露事件有可能再次上演?！睋?jù)資料顯示，2011年12月，CSDN的安全系統(tǒng)遭到黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄露。隨后，CSDN“密碼外泄門”持續(xù)發(fā)酵，天涯、世紀(jì)佳緣、人人網(wǎng)等網(wǎng)站相繼被曝用戶數(shù)據(jù)遭泄密。天涯網(wǎng)更發(fā)布致歉信，稱天涯4000萬用戶隱私遭到黑客泄露，據(jù)統(tǒng)計(jì)，CSDN“密碼外泄門”造成超過1億賬號(hào)密碼被曝光在網(wǎng)上。而如今Struts 2漏洞更被不少業(yè)內(nèi)人士看作是CSDN“密碼外泄門”后，中國(guó)互聯(lián)網(wǎng)領(lǐng)域中又一次大量用戶個(gè)人信息泄露的“慘劇”。南方日?qǐng)?bào)記者在一份“烏云網(wǎng)公布的存在漏洞的網(wǎng)站名單”內(nèi)看到，受Struts 2漏洞影響的網(wǎng)站不乏天極網(wǎng)、百合網(wǎng)、網(wǎng)易、17173、樂蜂網(wǎng)等國(guó)內(nèi)知名互聯(lián)網(wǎng)網(wǎng)站。而據(jù)金山安全專家表示，由于國(guó)內(nèi)大量電子商務(wù)網(wǎng)站基于Struts建設(shè)，在這次Struts 2漏洞風(fēng)暴中或?qū)S為重災(zāi)區(qū)。

    意識(shí)漏洞比技術(shù)漏洞更可怕

    “互聯(lián)網(wǎng)數(shù)據(jù)大規(guī)模被泄露，這種情況已經(jīng)存在很長(zhǎng)時(shí)間，長(zhǎng)久以來國(guó)內(nèi)整個(gè)信息系統(tǒng)都存在著問題。這是所有的網(wǎng)絡(luò)公司存在的問題?！盋SDN總裁蔣濤曾經(jīng)就國(guó)內(nèi)互聯(lián)網(wǎng)安全問題發(fā)表過自己的看法，“第三方數(shù)據(jù)安全審計(jì)公司對(duì)各網(wǎng)站的掃描結(jié)果顯示，80%以上的互聯(lián)網(wǎng)公司都存在著漏洞，有安全策略的公司60%以上還存在著漏洞，這是我們互聯(lián)網(wǎng)的現(xiàn)狀?！笔Y濤認(rèn)為國(guó)內(nèi)互聯(lián)網(wǎng)公司當(dāng)前普遍存在兩個(gè)現(xiàn)狀，一是重視業(yè)務(wù)，二是缺乏安全意識(shí)，對(duì)于數(shù)據(jù)安全和系統(tǒng)安全認(rèn)識(shí)不夠。

    有安全領(lǐng)域?qū)＜以诮邮苡浾卟稍L時(shí)就表示，Struts 2漏洞并非第一次爆發(fā)，類似的問題其實(shí)一直都存在于互聯(lián)網(wǎng)領(lǐng)域內(nèi)，但是由于之前并未被黑客加以利用而造成太大影響，所以讓很多網(wǎng)站的安全管理人員不夠重視并心存僥幸。據(jù)南方日?qǐng)?bào)記者了解，國(guó)內(nèi)大量的網(wǎng)站均存在該漏洞，但大部分網(wǎng)站連Stuts 2之前的老漏洞都尚未進(jìn)行過修復(fù)，而在本次Struts 2漏洞出現(xiàn)后，使得用戶的個(gè)人信息成為了黑客眼中的“魚肉”。

    “我們金山毒霸能做的比較有限。”作為互聯(lián)網(wǎng)安全軟件，金山網(wǎng)絡(luò)相關(guān)負(fù)責(zé)人在接受南方日?qǐng)?bào)記者采訪時(shí)坦言，在面對(duì)類似Struts 2漏洞的網(wǎng)絡(luò)安全威脅時(shí)，一般的互聯(lián)網(wǎng)安全軟件的作用僅僅是提醒用戶，但是主動(dòng)能夠提供的防御非常有限。有安全領(lǐng)域?qū)＜冶硎?，目前還沒有確切證據(jù)標(biāo)明已經(jīng)有大型網(wǎng)站的數(shù)據(jù)庫(kù)被拖庫(kù)（拖庫(kù)是指將從數(shù)據(jù)庫(kù)導(dǎo)出數(shù)據(jù)，各大網(wǎng)站通常會(huì)將數(shù)據(jù)庫(kù)進(jìn)行加密，黑客會(huì)將這些數(shù)據(jù)庫(kù)破解并獲得數(shù)據(jù)），而黑市上也沒有新的數(shù)據(jù)庫(kù)出現(xiàn)，主要是由于Struts 2漏洞公開的時(shí)間不長(zhǎng)，影響可能要到幾個(gè)月后才會(huì)顯現(xiàn)。

    面對(duì)新漏洞，我們?cè)趺捶溃?/p>

    瑞星安全專家提醒廣大網(wǎng)站管理員，應(yīng)到Struts 2的官方網(wǎng)站下載最新的補(bǔ)丁程序，盡快將Struts 2升級(jí)到最新的2.3.15.1版本，以避免可能遭遇的嚴(yán)重安全威脅。

    金山毒霸提醒普通網(wǎng)民高度注意以下兩點(diǎn)：1.近期需要特別重視防騙：可能會(huì)有攻擊者利用泄露出來的網(wǎng)民個(gè)人信息大量行騙。2.建議修改重要的網(wǎng)站登錄密碼（如購(gòu)物網(wǎng)站、重要電子郵箱等），有一個(gè)密碼通行所有網(wǎng)站的用戶必須改變這種不良習(xí)慣，因攻擊者可以輕易使用原來的密碼去嘗試登錄更多網(wǎng)絡(luò)服務(wù)。

　　（編輯：Jesse）