危險！互聯(lián)網(wǎng)再曝“驚天漏洞”

    多家知名網(wǎng)站告急，電商網(wǎng)站或成重災區(qū)
   
    蘋果淪陷、淘寶淪陷、網(wǎng)易淪陷、樂蜂淪陷、百合網(wǎng)淪陷……近日，一個名為“Struts 2”的安全漏洞不僅讓眾多知名網(wǎng)站陷入安全危機，也讓金山安全中心、瑞星互聯(lián)網(wǎng)攻防實驗室、360互聯(lián)網(wǎng)安全中心等信息安全防護機構同時拉響了紅色警報。什么是Struts 2？據(jù)介紹，這是多個存在于網(wǎng)站應用框架Struts中的底層軟件漏洞，這個漏洞影響力很大卻偏偏利用難度低，利用該漏洞，“菜鳥”也可以使用攻擊工具直接控制網(wǎng)站服務器，盜取用戶數(shù)據(jù)庫，獲取網(wǎng)站注冊用戶的賬號密碼和個人資料。也正是因此，“Struts 2”被互聯(lián)網(wǎng)安全領域人士看作是“互聯(lián)網(wǎng)歷史上又一重大安全危機”。

    Struts 2漏洞恐危及多家電商

    據(jù)南方日報記者了解， Struts是Apache基金會Jakarta項目組的一個開源項目，它采用MVC 模式，幫助java開發(fā)者利用J2EE開發(fā)Web應用。目前，Struts廣泛應用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機構等網(wǎng)站建設，并作為網(wǎng)站開發(fā)的底層模板使用。瑞星安全專家介紹，本次曝出的2個漏洞是由于縮寫的導航和重定向前綴“action：”、“redirect：”、“redirectAction：”造成的。瑞星安全專家表示，由于這些參數(shù)前綴的內(nèi)容沒有被正確過濾，導致黑客可以通過漏洞執(zhí)行命令，獲取目標服務器的信息，并進一步取得服務器最高控制權。屆時，被攻擊網(wǎng)站的數(shù)據(jù)庫將面臨全面泄密的威脅，同時黑客還可以通過重定向漏洞的手段，對其他網(wǎng)民進行釣魚攻擊或掛馬攻擊。

    360安全專家石曉虹博士在接受采訪時表示，由于Struts 2屬于底層框架，其漏洞影響范圍廣、利用難度低，“菜鳥”也可以使用攻擊工具直接控制網(wǎng)站服務器，盜取用戶數(shù)據(jù)庫?！?011年底多家網(wǎng)站‘密碼庫’泄露事件有可能再次上演?！睋?jù)資料顯示，2011年12月，CSDN的安全系統(tǒng)遭到黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄露。隨后，CSDN“密碼外泄門”持續(xù)發(fā)酵，天涯、世紀佳緣、人人網(wǎng)等網(wǎng)站相繼被曝用戶數(shù)據(jù)遭泄密。天涯網(wǎng)更發(fā)布致歉信，稱天涯4000萬用戶隱私遭到黑客泄露，據(jù)統(tǒng)計，CSDN“密碼外泄門”造成超過1億賬號密碼被曝光在網(wǎng)上。而如今Struts 2漏洞更被不少業(yè)內(nèi)人士看作是CSDN“密碼外泄門”后，中國互聯(lián)網(wǎng)領域中又一次大量用戶個人信息泄露的“慘劇”。南方日報記者在一份“烏云網(wǎng)公布的存在漏洞的網(wǎng)站名單”內(nèi)看到，受Struts 2漏洞影響的網(wǎng)站不乏天極網(wǎng)、百合網(wǎng)、網(wǎng)易、17173、樂蜂網(wǎng)等國內(nèi)知名互聯(lián)網(wǎng)網(wǎng)站。而據(jù)金山安全專家表示，由于國內(nèi)大量電子商務網(wǎng)站基于Struts建設，在這次Struts 2漏洞風暴中或將淪為重災區(qū)。

    意識漏洞比技術漏洞更可怕

    “互聯(lián)網(wǎng)數(shù)據(jù)大規(guī)模被泄露，這種情況已經(jīng)存在很長時間，長久以來國內(nèi)整個信息系統(tǒng)都存在著問題。這是所有的網(wǎng)絡公司存在的問題?！盋SDN總裁蔣濤曾經(jīng)就國內(nèi)互聯(lián)網(wǎng)安全問題發(fā)表過自己的看法，“第三方數(shù)據(jù)安全審計公司對各網(wǎng)站的掃描結果顯示，80%以上的互聯(lián)網(wǎng)公司都存在著漏洞，有安全策略的公司60%以上還存在著漏洞，這是我們互聯(lián)網(wǎng)的現(xiàn)狀?！笔Y濤認為國內(nèi)互聯(lián)網(wǎng)公司當前普遍存在兩個現(xiàn)狀，一是重視業(yè)務，二是缺乏安全意識，對于數(shù)據(jù)安全和系統(tǒng)安全認識不夠。

    有安全領域專家在接受記者采訪時就表示，Struts 2漏洞并非第一次爆發(fā)，類似的問題其實一直都存在于互聯(lián)網(wǎng)領域內(nèi)，但是由于之前并未被黑客加以利用而造成太大影響，所以讓很多網(wǎng)站的安全管理人員不夠重視并心存僥幸。據(jù)南方日報記者了解，國內(nèi)大量的網(wǎng)站均存在該漏洞，但大部分網(wǎng)站連Stuts 2之前的老漏洞都尚未進行過修復，而在本次Struts 2漏洞出現(xiàn)后，使得用戶的個人信息成為了黑客眼中的“魚肉”。

    “我們金山毒霸能做的比較有限。”作為互聯(lián)網(wǎng)安全軟件，金山網(wǎng)絡相關負責人在接受南方日報記者采訪時坦言，在面對類似Struts 2漏洞的網(wǎng)絡安全威脅時，一般的互聯(lián)網(wǎng)安全軟件的作用僅僅是提醒用戶，但是主動能夠提供的防御非常有限。有安全領域專家表示，目前還沒有確切證據(jù)標明已經(jīng)有大型網(wǎng)站的數(shù)據(jù)庫被拖庫（拖庫是指將從數(shù)據(jù)庫導出數(shù)據(jù)，各大網(wǎng)站通常會將數(shù)據(jù)庫進行加密，黑客會將這些數(shù)據(jù)庫破解并獲得數(shù)據(jù)），而黑市上也沒有新的數(shù)據(jù)庫出現(xiàn)，主要是由于Struts 2漏洞公開的時間不長，影響可能要到幾個月后才會顯現(xiàn)。

    面對新漏洞，我們怎么防？

    瑞星安全專家提醒廣大網(wǎng)站管理員，應到Struts 2的官方網(wǎng)站下載最新的補丁程序，盡快將Struts 2升級到最新的2.3.15.1版本，以避免可能遭遇的嚴重安全威脅。

    金山毒霸提醒普通網(wǎng)民高度注意以下兩點：1.近期需要特別重視防騙：可能會有攻擊者利用泄露出來的網(wǎng)民個人信息大量行騙。2.建議修改重要的網(wǎng)站登錄密碼（如購物網(wǎng)站、重要電子郵箱等），有一個密碼通行所有網(wǎng)站的用戶必須改變這種不良習慣，因攻擊者可以輕易使用原來的密碼去嘗試登錄更多網(wǎng)絡服務。

　?。ň庉嫞篔esse）