建党100周年重保在即,可自从进入四月以来,应用漏洞、平台漏洞、零日漏洞大爆发,这不禁让人再次想起了肆虐了超过十年的Struts 2系列漏洞。为保障与建党100周年相关官方网站、政府网站、媒体网站等的安全性,强化Web应用安全极为必要。
肆虐无常的Struts 2漏洞
自从2007年7月23日首个Struts 2漏洞S2-001曝光后,每当网络管理人员、安全运维人员以为没事儿了的时候,一个有着全新编号的Struts 2漏洞就会再次轻轻拍动运维人员的肩膀说:“嗨,哥们,你的网站被我接管了!”
到如今,已知的Struts 2漏洞就已经超过了50个,漏洞类型更是遍布RCE、XSS、CSRF、DOS、目录遍历和其他功能缺陷漏洞等。其中最为黑客所爱的是RCE远程代码执行漏洞,这也是所有行业用户和安全企业最怕的高危类型漏洞。每一次Struts 2远程代码执行漏洞的爆发,都让政府、金融、互联网、通信、教育等诸多行业吃尽了苦头,某些互联网巨头、金融企业甚至是损失惨重。
攻击生态链或让Struts 2漏洞家族再发淫威
看到这里许多朋友可能会说,“我们承认,Struts 2漏洞确实可以被称为漏洞王。但经历了这十来年,我们对这类漏洞已经足够警惕,也在一次次的实战中极大提升了对抗这类漏洞的应急响应能力。这类漏洞应该不会再有以前那么可怕了吧?”
让我们先看看下面这几条漏洞信息:
● SAP应用程序系列漏洞
● 微软Exchange服务器软件安全漏洞
● SolarWinds公司Orion平台漏洞
● 软件审计公司Codecov平台安全漏洞
● 谷歌Chrome浏览器、微软Edge浏览器零日漏洞(0-Day)
进入四月以来,安全情报显示,SAP应用程序中的多个安全漏洞在被黑客频繁利用。微软Exchange服务器软件安全漏洞、SolarWinds公司Orion平台漏洞、软件审计公司Codecov平台安全漏洞的陆续曝光,让米国好一通的鸡飞狗跳手忙脚乱。而Chrome和Edge浏览器零日漏洞的曝出,让所有安全运维人员已经变得“麻木”的同时,还不得不紧盯着啥时候才会有安全补丁释放出来。
这一系列的漏洞没有一个善茬,而且漏洞范围遍布了浏览器、办公应用、服务器软件以及供应链平台,一个庞大的“漏洞攻击生态链”已经浮出水面。
没错,就是“漏洞攻击生态链”。现在黑客的攻击往往会通过多种漏洞的组合,实现对防护严密被攻击目标的成功渗透。安全漏洞是无法穷尽的,遍布网络空间每个角落的各类安全漏洞,对黑客而言,就是一个庞大的攻击生态链。只要在被攻击目标的系统上撬开一丝缝隙,黑客就能通过一系列的漏洞攻击组合,将目标打晕甚至彻底击穿。而这个“缝隙”——零日漏洞的被发现是一个必然,差别仅仅是何时被发现而已。
对于某些因为特殊原因,已经掌握Struts 2漏洞安全补丁,但无法安装的用户而言,这些Struts 2漏洞就是潜在的大问题“Big BOMB”,一旦有了合适的“漏洞攻击生态链”,依然裸奔且被黑客使用得太顺手的Struts 2漏洞必然会被触发。
重保期间Web应用安全需尽快强化
Struts 2是否还会曝出新的零日漏洞呢?这个几率很大,甚至很可能已经有新的Struts 2零日漏洞被黑客雪藏在了他们的攻击武器库里,就等着在关键时候放出来。建党100周年是我国今年极为重要的一件大事,在此期间恶意黑客及境外组织肯定会对重点门户网站、网络核心节点、重要基础设施等发起攻击。“威名赫赫”的Struts 2漏洞也必然会在其候选网络武器库名单里。与Struts 2的S2-0XX系列类似的漏洞,对重点门户网站都危害巨大,因此必须要在既有传统安全防线之上,再增加一层保险措施,通过部署与中云网安AI Web Defender类似的新型人工智能应用安全产品,实现对Http/Https应用层下漏洞攻击的全面封堵,进一步强化建党100周年重保时期的各类Web应用安全,让包括Struts 2系列漏洞在内的各类应用安全漏洞都无可乘之机。
建党百年之际,门户网站安全必会成为攻防双方博弈的重要节点之一,以人工智能力量强化Web应用安全刻不容缓!
来源:freebuf.com 2021-04-22 09:05:50 by: zyaiprotect
请登录后发表评论
注册