主要观点总结
关于Apache Struts的S2-067(CVE-2024-53677)漏洞的安全通告。该漏洞允许攻击者通过文件上传功能进行路径遍历,上传恶意文件以实现远程代码执行。CVSS评分9.5,影响多个版本的Apache Struts。
关键观点总结
关键观点1: 漏洞概述
Apache Struts存在任意文件上传漏洞S2-067(CVE-2024-53677),攻击者可利用此漏洞上传恶意文件实现远程代码执行。
关键观点2: 影响范围
受影响版本包括Apache Struts 2.0.0 至 2.3.37、2.5.0 至 2.5.33、6.0.0 至 6.3.0.2。未启用FileUploadInterceptor组件的应用程序不受此漏洞影响。
关键观点3: 漏洞检测
可通过人工检测和产品检测两种方式检查是否受到该漏洞影响。人工检测可查看项目的pom.xml或lib中的核心包来确定struts版本;产品检测可使用绿盟科技的安全产品进行检测,用户需升级至最新版本以获取检测能力。
关键观点4: 漏洞防护
官方已发布新版本修复该漏洞,受影响用户应尽快升级。同时,绿盟科技Web应用防护系统(WAF)与网络入侵防护系统(IPS)已发布规则升级包,相关用户应升级规则包至最新版。另外,还提供了一些针对该漏洞的加固建议。
正文
|
TA
G:
|
Apache Struts、S2-067、CVE-2024-53677
|
|
漏洞危害:
|
攻击者利用此漏洞,可实现任意文件上传。
|
|
版本:
|
1.1
|
漏洞概述
近日,绿盟科技CERT监测到Apache发布安全公告,修复了Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)。由于文件上传功能存在逻辑缺陷,未经身份验证的攻击者可以通过控制文件上传参数进行路径遍历,从而通过上传恶意文件来实现远程代码执行。CVSS评分9.5,目前漏洞细节与PoC已公开,请相关用户尽快采取措施进行防护。
Apache Struts是用于创建Java Web应用程序的开源框架,旨在为Java Web开发提供一个灵活、强大且易于扩展的解决方案,应用非常广泛。
绿盟科技已成功复现此漏洞:
参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-067
-
2.0.0 <= Apache Struts <= 2.3.37
-
2.5.0 <= Apache Struts <= 2.5.33
-
6.0.0 <= Apache Struts <= 6.3.0.2
注:未启用FileUploadInterceptor组件的应用程序不受此漏洞影响。
不受影响版本
使用maven打包的项目可通过pom.xml查看当前使用的struts版本:
也可通过查看lib中的核心包查看struts版本
若当前版本在受影响范围内,则可能存在安全风险
。
3.2 产品检测
绿盟科技远程安全评估系统(RSAS)、WEB应用漏洞扫描系统(WVSS)、综合威胁探针(UTS)与网络入侵检测系统(IDS)已具备对此次漏洞的扫描与检测能力,请有部署以上设备的用户升级至最新版本。
|
升级包版本号
|
升级包下载链接
|
|
RSAS V6
系统插件升级包
|
V6.0R02F01.3807
|
https://update.nsfocus.com/update/listRsasDetail/v/vulsys
|
|
RSAS V6 Web
插件包
|
V6.0R02F00.3605
|
https://update.nsfocus.com/update/listRsasDetail/v/vulweb
|
|
WVSS V6
插件升级包
|
V6.0R03F00.342
|
https://update.nsfocus.com/update/listWvssDetail/v/6/t/plg
|
|
UTS
|
2.0.0.37846
|
https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.1
|
|
5.6.10.37846
|
https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0
|
|
6.0.7.3.69540
|
https://update.nsfocus.com/update/listBsaUtsDetail/v/wcl2.0.0
|
|
IDS
|
5.6.10.37846
|
https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.10
|
|
5.6.11.37846
|
https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11
|
|
2.0.0.37846
|
https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11_v2
|
绿盟智能安全运营平台(ISOP)通用规则支持此漏洞的监测告警。
关于RSAS的升级配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q
目前官方已发布新版本修复了该漏洞,请受影响的用户尽快升级版本进行防护,下载链接:https://struts.apache.org/download.cgi
注:从Struts 6.4.0开始用户需将ActionFileUploadInterceptor作为文件上传组件。
4.2 产品防护
针对上述漏洞,绿盟科技Web应用防护系统(WAF)与网络入侵防护系统(IPS)已发布规则升级包,请相关用户升级规则包至最新版,以形成安全产品防护能力。安全防护产品规则编号如下:
|
安全防护产品
|
升级包版本号
|
升级包下载链接
|
规则编号
|
|
WAF
|
6.0.7.0.69540
|
https://update.nsfocus.com/update/listWafSpecialDetail/v/all
|
27005772
|
|
6.0.7.3.69540
|
https://update.nsfocus.com/update/listWafV67Detail/v/rule6070
|
|
6.0.8.0.69540
|
https://update.nsfocus.com/update/listWafV68Detail/v/rule
|
|
IPS
|
5.6.10.37846
|
https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10
|
[28420]
|
