【处置手册】Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)
2024-12-17 10:23:0 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

通告编号:NS-2024-0036-1

2024-12-17
TAG:

Apache Struts、S2-067、CVE-2024-53677

漏洞危害:

攻击者利用此漏洞,可实现任意文件上传。

版本:1.1
1

漏洞概述

近日,绿盟科技CERT监测到Apache发布安全公告,修复了Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)。由于文件上传功能存在逻辑缺陷,未经身份验证的攻击者可以通过控制文件上传参数进行路径遍历,从而通过上传恶意文件来实现远程代码执行。CVSS评分9.5,目前漏洞细节与PoC已公开,请相关用户尽快采取措施进行防护。

Apache Struts是用于创建Java Web应用程序的开源框架,旨在为Java Web开发提供一个灵活、强大且易于扩展的解决方案,应用非常广泛。

绿盟科技已成功复现此漏洞:

参考链接:

https://cwiki.apache.org/confluence/display/WW/S2-067

SEE MORE →

2影响范围

受影响版本

  • 2.0.0 <= Apache Struts <= 2.3.37

  • 2.5.0 <= Apache Struts <= 2.5.33

  • 6.0.0 <= Apache Struts <= 6.3.0.2

    注:未启用FileUploadInterceptor组件的应用程序不受此漏洞影响。

不受影响版本

  • Apache Struts >= 6.4.0

3漏洞检测

3.1 人工检测

使用maven打包的项目可通过pom.xml查看当前使用的struts版本:

也可通过查看lib中的核心包查看struts版本

若当前版本在受影响范围内,则可能存在安全风险

3.2 产品检测

绿盟科技远程安全评估系统(RSAS)、WEB应用漏洞扫描系统(WVSS)、综合威胁探针(UTS)与网络入侵检测系统(IDS)已具备对此次漏洞的扫描与检测能力,请有部署以上设备的用户升级至最新版本。


升级包版本号

升级包下载链接

RSAS V6系统插件升级包

V6.0R02F01.3807

https://update.nsfocus.com/update/listRsasDetail/v/vulsys

RSAS V6 Web插件包

V6.0R02F00.3605

https://update.nsfocus.com/update/listRsasDetail/v/vulweb

WVSS   V6插件升级包

V6.0R03F00.342

https://update.nsfocus.com/update/listWvssDetail/v/6/t/plg

UTS

2.0.0.37846

https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.1

5.6.10.37846

https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0

6.0.7.3.69540

https://update.nsfocus.com/update/listBsaUtsDetail/v/wcl2.0.0

IDS

5.6.10.37846

https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.10

5.6.11.37846

https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11

2.0.0.37846

https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11_v2

绿盟智能安全运营平台(ISOP)通用规则支持此漏洞的监测告警。

关于RSAS的升级配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q

4漏洞防护

4.1 官方升级

目前官方已发布新版本修复了该漏洞,请受影响的用户尽快升级版本进行防护,下载链接:https://struts.apache.org/download.cgi

注:从Struts 6.4.0开始用户需将ActionFileUploadInterceptor作为文件上传组件。

4.2 产品防护

针对上述漏洞,绿盟科技Web应用防护系统(WAF)与网络入侵防护系统(IPS)已发布规则升级包,请相关用户升级规则包至最新版,以形成安全产品防护能力。安全防护产品规则编号如下:

安全防护产品

升级包版本号

升级包下载链接

规则编号

WAF

6.0.7.0.69540

https://update.nsfocus.com/update/listWafSpecialDetail/v/all

27005772

6.0.7.3.69540

https://update.nsfocus.com/update/listWafV67Detail/v/rule6070

6.0.8.0.69540

https://update.nsfocus.com/update/listWafV68Detail/v/rule

IPS

5.6.10.37846

https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10

[28420]

5.6.11.37846

https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11

2.0.0.37846

https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11_v2

产品规则升级的操作步骤详见如下链接:

WAF:https://mp.weixin.qq.com/s/7F8WCzWsuJ5T2E9e01wNog

IPS:https://mp.weixin.qq.com/s/DxQ3aaap8aujqZf-3VbNJg

4.3 加固建议

针对此文件上传漏洞,可以通过下列措施对服务器进行安全加固:

1.针对系统文件上传模块进行严格的身份认证和权限控制,避免匿名用户和未授权的访问。

2. 将文件上传目录和其他可写目录权限设置为不可执行,禁止web容器解析这些目录下的文件。

3.在保存用户上传的文件时不直接使用原文件名,用随机生成的文件名替代以避免被攻击者操纵。

4. 使用对象存储或网络存储的方式,保存用户上传的文件。

5. 加强web应用的监控和日志记录,重点监测路径穿越和文件上传相关的流量。

END

         
        
声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。            

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。            

绿盟科技CERT 微信公众号
长按识别二维码,关注网络安全威胁信息

文章来源: https://mp.weixin.qq.com/s?__biz=Mzk0MjE3ODkxNg==&mid=2247488765&idx=1&sn=cb38f34e16235b415098e0a348c004ab&chksm=c2c643f6f5b1cae02308b33981c82c888a78c82ffa6bb440cf4a875790265a20d5b003c9cd86&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh