Linuxeden开源社区作者
美国征信巨头Equifax近日公开披露,其公司数据遭到黑客攻击并泄露,并且可能会涉及1.43亿用户。而本次泄露信息的内容包括个人信息,例如姓名、住址、出生日期、社会保障号、驾照信息等。受此消息影响,Equifax本周一股价下跌10.11美元,跌幅8.2%,收于113.12美元。自披露消息之后,其股价已累计下跌逾20%,市值蒸发35亿多美元。
从Equifax官方发布的网络安全事件更新公告中可以确认,引起此次数据泄露的原因是Web框架Apache Struts的一个漏洞(CVE-2017-5638)。CVE-2017-5638是一个RCE的远程代码执行漏洞,最初是被安恒信息的Nike Zheng发现的,并于3月7日上报。这个漏洞被官方鉴定为严重级别,同时,在披露的当天,Apache 也发布了新的Struts版本进行修复。但 Equifax 在漏洞出现的两个月内都没有修复,导致 5 月份黑客利用这个漏洞进行攻击,泄露其敏感数据。
而在9月初,Struts官方又连续发布了两份安全公告。第一份安全公告于9月5日发布,涉及的三个安全漏洞分别是CVE-2017-9804、CVE-2017-9805和CVE-2017-9793。其中CVE-2017-9805被定性为严重级别,根据版本迭代历史推断,该漏洞已有九年历史,但直到最近才被发现,也就是说,自 2008 年以来的所有版本 Struts2 都会受到影响,用户需要尽快升级。简单来说,漏洞是由于Struts2的REST插件引起的,其XStream组件存在反序列化漏洞,但Struts2使用带有XStream实例的XStreamHandler进行反序列化操作时,没有进行任何类型过滤。
第二份安全公告于9月7日发布,涉及的漏洞是CVE-2017-12611,漏洞等级是中危,漏洞根因是由于Freemarker标签,当用户在Freemarker标签中使用表达式常量或强制表达式时使用请求值就可能会导致远程代码执行漏洞。该漏洞的报告作者之一是京东安全团队的Lupin。
受这些漏洞的影响,思科也在上周连续发布了两个安全公告,并着手进行自身主要产品的安全性审查。据了解,世界上约65%的财富100强公司都有使用Struts作为基础设施,这其中包括美国国税局、花旗集团、Equifax等。而根据绿盟科技威胁情报中心的数据得知,中国又是世界上使用Struts框架最多的国家之一,甚至在今年7月,国家信息安全漏洞共享平台还发布过关于做好Apache Struts2高危漏洞管理和应急工作的安全公告。
关于Equifax数据泄露的具体详情可以阅读这篇新闻,关于Struts2漏洞的详细信息读者可以在这里进一步了解。
转自 http://www.infoq.com/cn/news/2017/09/Struts-Security-Bulletins