標題:Apache Struts2再度爆發高風險漏洞,HITCON Zeroday通報:已有臺灣金融業者受駭
摘要:
用J2EE開發框架Apache Struts2的網站伺服器的網管人員注意,如果網站伺服器所使用的框架版本是Struts 2.3.5 、Struts 2.3.31、Struts 2.5~Struts 2.5.10等版本,因為Apache基金會公布,上述相關版本都存在一個編號S2-045的漏洞(CVE-2017-5638),駭客可以輕易遠端執行惡意程式碼(RCE)、成功入侵網站,網站管理人員都應儘速升級到最新版本框架,以策安全。
駭客利用S2-045的漏洞,除了可以成功竊取銀行網站資料庫的資料外,翁浩正指出,不論是資料外洩、竄改網頁、植入後門或木馬程式,將該網站作為發動DoS攻擊的傀儡網站等,甚至先行潛伏一段時間再伺機而動,「這一切的風險,都是因為有問題的Struts2開發框架沒有進行程式修補的緣故。」
雖然Struts2是開源框架並由Apache基金會負責維運,但是基金會並沒有足夠的能力解決已經存在的漏洞,也無力進行百分之百的修補,再加上,許多Struts2可以利用的遠端執行程式非常簡單,攻擊工具也非常容易創造並大量散布使用,都是Struts2為什麼年年都有爆發資安事件的原因之一。
引用來源:
http://www.ithome.com.tw/news/112591