關(guān)于Apache Struts2 框架：

Apache Struts2 框架是在Struts 和WebWork的技術(shù)基礎(chǔ)上進(jìn)行了合并后的全新框架。其全新的Struts 2的體系結(jié)構(gòu)與Struts 1的體系結(jié)構(gòu)的差別巨大。Struts 2以WebWork為核心，采用攔截器的機(jī)制來(lái)處理用戶的請(qǐng)求，這樣的設(shè)計(jì)也使得業(yè)務(wù)邏輯控制器能夠與Servlet API完全脫離開(kāi)，所以Struts 2可以理解為WebWork的更新產(chǎn)品。Struts框架廣泛應(yīng)用于政府、公安、交通、金融行業(yè)和運(yùn)營(yíng)商的網(wǎng)站建設(shè)，作為網(wǎng)站開(kāi)發(fā)的底層模板使用，目前大量開(kāi)發(fā)者利用J2ee 開(kāi)發(fā) Web 應(yīng)用的時(shí)候都會(huì)利用這個(gè)框架。

Apache Struts2 框架最早于2010年7月14日被發(fā)現(xiàn)存在一個(gè)嚴(yán)重命令執(zhí)行漏洞，但隨之出現(xiàn)了防范技術(shù)，最近隨著近期Struts2帶回顯功能的POC被公布，出現(xiàn)大量的利用工具，并導(dǎo)致大量使用此框架的網(wǎng)站淪陷，并呈擴(kuò)散趨勢(shì)。據(jù)第三方安全問(wèn)題反饋平臺(tái)"烏云"上白帽子的提交來(lái)看，國(guó)內(nèi)已有上百個(gè)大型網(wǎng)站（主要包括政府、金融、運(yùn)營(yíng)商、企業(yè)等）存在被該漏洞利用的風(fēng)險(xiǎn)，被駭客惡意攻擊的網(wǎng)站不計(jì)其數(shù)。目前安恒信息的安全產(chǎn)品均能檢測(cè)和防護(hù)該漏洞，徹底阻斷駭客的惡意攻擊。

圖：Struts2遠(yuǎn)程執(zhí)行漏洞在第三方安全問(wèn)題反饋平臺(tái)WOOYUN的不完全統(tǒng)計(jì)情況

如果說(shuō)"震網(wǎng)"病毒和"火焰"病毒是對(duì)信息系統(tǒng)造成了很大的沖擊，那么現(xiàn)在的"Struts2漏洞"就是針對(duì)互聯(lián)網(wǎng)社會(huì)公共安全的一次挑戰(zhàn)。經(jīng)安恒信息安全人員分析，由于Struts2漏洞的利用工具已經(jīng)大面積散播，導(dǎo)致惡意攻擊者的攻擊成本和時(shí)間大大降低，攻擊者只需要在利用工具中填入存在漏洞的網(wǎng)址或IP，即可自動(dòng)執(zhí)行并獲取網(wǎng)站權(quán)限，未來(lái)很可能會(huì)成為惡意攻擊和信息竊取的主要攻擊目標(biāo)。特別是政府、公安、交通、金融和運(yùn)營(yíng)商等尤其需要重視該漏洞，這些單位和機(jī)構(gòu)需要非常重視信息安全保密工作，敏感信息的泄漏有可能對(duì)國(guó)家造成沉重的打擊，甚至?xí)`反相關(guān)的法律規(guī)定。在最近幾年APT攻擊橫行的時(shí)期，駭客早也不再以掛黑頁(yè)炫耀為目的，攻擊者可能通過(guò)該漏洞作為突破口滲透進(jìn)入其內(nèi)部網(wǎng)絡(luò)長(zhǎng)期蟄伏，不斷收集各種信息，直到收集到重要情報(bào)。請(qǐng)記住，在如今的互聯(lián)網(wǎng)時(shí)代，只要是能換成錢的東西，駭客們都愿意嘗試，其中更不乏諸多政治駭客（如國(guó)際黑客組織Anonymous）。

圖：Struts2漏洞利用工具

安恒信息的安全專家提醒目前正在使用Struts框架的網(wǎng)站的管理員，目前Aapche官方已經(jīng)在Struts 2.2.0版本中修復(fù)了這個(gè)安全問(wèn)題。由于struts 2.2.0仍然存在其他安全問(wèn)題，建議用戶請(qǐng)盡快升級(jí)到當(dāng)前最新版本2.3.4。另外，在修補(bǔ)漏洞的同時(shí)千萬(wàn)不要忘記查看服務(wù)器或網(wǎng)站是否已經(jīng)被入侵，是否存在后門文件等，盡量將損失和風(fēng)險(xiǎn)控制在可控范圍內(nèi)。

安恒信息目前也就針對(duì)這種情況升級(jí)了明御WEB應(yīng)用防火墻（WAF）的策略提供防護(hù)，同時(shí)已經(jīng)安排了24小時(shí)電話緊急值班（400-605-9110），隨時(shí)協(xié)助有需要的客戶解決該漏洞。