【安全风险通告】奇安信CERT已复现，Apache Struts2远程代码执行漏洞安全风险通告

ApacheStruts 2是一个用于开发JavaEE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了JavaServlet API，鼓励开发者采用MVC架构。

近日，奇安信CERT监测到Apache官方发布安全更新，其中修复了Apache Struts2远程代码执行漏洞(CVE-2021-31805)，在某些标签中若后端通过 %{...} 形式对其属性进行赋值，则将对OGNL表达式进行二次解析，从而执行恶意代码，且该漏洞是S2-061的绕过。此漏洞POC、技术细节已公开，经过奇安信CERT研判，此漏洞POC有效。鉴于此漏洞影响范围极大，建议客户尽快做好自查，及时更新至最新版本或采取缓解措施。

奇安信CERT已成功复现Apache Struts2 远程代码执行漏洞(CVE-2021-31805)，复现截图如下:

一、版本升级

目前官方已有可更新版本，用户可升级至 2.5.30 版本：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

二、漏洞缓解措施

1、可通过设置所有标签中 value="" 来缓解此漏洞；

2、将org.apache.commons.collection.BeanMap 添加至 excludedClasses 黑名单中。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：6072 ，建议用户尽快升级检测规则库至2204141840以后版本并启用该检测规则。

奇安信开源卫士已更新

奇安信开源卫士20220414. 1039版本已支持对Struts2 远程代码执行漏洞(CVE-2021-31805)的检测。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.0414.13299或以上版本。规则ID及规则名称：

0x10020ECC，Apache Struts2 远程代码执行漏洞(CVE-2021-31805)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于4月15日发布入侵防御规则库2022.04.15版本，支持对Struts2 远程代码执行漏洞（CVE-2021-31805）的防护，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台将于4月15日发布入侵防御规则库10569版本，支持对Struts2 远程代码执行漏洞（CVE-2021-31805）的防护，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对Struts2远程代码执行漏洞(CVE-2021-31805)的防护。

[1]https://cwiki.apache.org/confluence/display/WW/S2-062

[2]http://www.openwall.com/lists/oss-security/2022/04/12/6

2022年4月14日，奇安信 CERT发布安全风险通告

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓