关于Apache Struts远程代码执行漏洞(S2-061、CVE-2020-17530)的说明

  • A+
所属分类:安全漏洞
关于Apache Struts远程代码执行漏洞(S2-061、CVE-2020-17530)的说明

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到Apache Struts官方发布安全通告S2-061 Struts远程代码执行漏洞(S2-061、CVE-2020-17530),在 Apache Struts 多个版本中,如果开发人员使用% { ... }语法强制应用 OGNL 计算,则某些tag属性可以执行双重计算。对不受信任的用户输入使用强制的 OGNL 计算可能导致远程代码执行。该漏洞已传播开来,奇安信CERT安全研究员对此漏洞进行了深入分析,得出结论:此漏洞利用条件苛刻,无法大规模利用。建议客户不必惊慌,及时安装软件更新。




漏洞描述

Apache Struts 2是一个开源的 WEB 应用框架,用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构,应用非常广泛。


近日,奇安信CERT监测到Apache Struts官方发布安全通告修复了 Apache Struts远程代码执行漏洞(S2-061、CVE-2020-17530),在 Apache Struts 多个版本中,如果开发人员使用% { ... }语法强制应用 OGNL 计算,则某些tag属性可以执行双重计算。对不受信任的用户输入使用强制的 OGNL 计算可能导致远程代码执行。


该漏洞已经传播开来,奇安信CERT安全研究员对此漏洞进行了深入分析,得出结论:此漏洞利用条件苛刻,无法大规模利用。建议客户不必惊慌,及时安装软件更新。

奇安信CERT第一时间复现了CVE-2020-17530漏洞,复现截图如下:

关于Apache Struts远程代码执行漏洞(S2-061、CVE-2020-17530)的说明

关于Apache Struts远程代码执行漏洞(S2-061、CVE-2020-17530)的说明



风险等级

奇安信 CERT风险评级为:低危
风险等级:蓝色(一般事件)


漏洞利用前置条件

1. 需要开启altSyntax功能

2. 需要特定标签的相关属性存在表达式%{skillName},且skillName可控并未做安全验证。



影响范围

2.0.0 <= Apache Struts <= 2.5.25



处置建议

将Apache Struts框架升级至2.5.26版本。



产品解决方案

奇安信网神网络数据传感器系统产品检测方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.1208. 12532及以上版本。规则名称:Apache Struts远程代码执行漏洞(CVE-2020-17530/S2-061),规则ID:0x10020B77。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Apache Struts2远程代码执行漏洞(S2-061)的防护。


奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2012082300” 及以上版本并启用规则ID: 1230404进行检测。


奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2020.11.10版本,支持对Apache Struts远程代码执行漏洞(S2-061、CVE-2020-17530)的防护,当前规则正在测试中,将于12月11日发布,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。奇安信网神统一服务器安全管理平台可通过更新入侵防御规则库10315版本,支持对Apache Struts远程代码执行漏洞(S2-061、CVE-2020-17530)的防护,当前规则正在测试中,将于12月11日发布,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6072,建议用户尽快升级检测规则库至2012091200以后版本并启用该检测规则。


奇安信开源卫士已更新

奇安信开源卫士20201208. 523版本已支持对Apache Struts远程代码执行漏洞(S2-061、CVE-2020-17530)的检测。



参考资料

[1]https://cwiki.apache.org/confluence/display/WW/S2-061



时间线

2020年12月9日,奇安信 CERT发布重点产品安全提示


关于Apache Struts远程代码执行漏洞(S2-061、CVE-2020-17530)的说明点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情






关于Apache Struts远程代码执行漏洞(S2-061、CVE-2020-17530)的说明

本文始发于微信公众号(奇安信 CERT):关于Apache Struts远程代码执行漏洞(S2-061、CVE-2020-17530)的说明

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: