4月底,Apache Struts 2 S2-032遠程代碼執行漏洞(CNVD-2016-02506,CVE-2016-3081,以下(xià)簡稱S2-032漏洞 )的利用代碼被披露并在短時間内迅速傳播。CNVD秘書(shū)處——國家互聯網應急中(zhōng)心(CNCERT)組織CNVD成員(yuán)單位和合作夥伴對漏洞攻擊威脅進行監測并開(kāi)展了應急處置工(gōng)作,現将有關情況通報如下(xià):
根據CNCERT在互聯網上的監測結果,近一(yī)周來(4月30日00:00至5月6日16:00),互聯網上針對該漏洞的攻擊和掃描嘗試保持在高位狀态。盡管後續評估認爲本次S2-032漏洞較以往S2-016漏洞的檢出率要低得多,但針對特定目标的搜尋(如:利用搜索引擎查找.action頁面)以及後續的攻擊掃描仍然在黑客地下(xià)産業或網絡安全從業者中(zhōng)持續進行。從CNCERT近期監測到的後門事件數量看,近一(yī)周被境内被植入後門的網站數量出現激增,暫不排除與S2-032漏洞攻擊的關聯可能性。
圖 近一(yī)周S2-032攻擊和掃描次數監測統計(來源:CNCERT)
圖 近一(yī)個月境内網站被植入後門數量統計(來源:CNCERT)
根據CNVD技術組成員(yuán)單位——上海交通大(dà)學網絡信息中(zhōng)心在教育網内的抽樣檢測結果,對706個采用Apache Struts 2作爲容器軟件的網站進行測試,有29個網站存在S2-032漏洞,占比4.1%,而存在S2-016及更低版本遠程代碼執行漏洞(如:S2-005)的網站有196個,占比28%。爲進一(yī)步評估S2-032漏洞在各行業領域單位網站的分(fēn)布情況,CNVD委托WOOYUN平台對相關數據進行檢測和整理,如下(xià)表所示,境内共有817個網站存在S2-032漏洞,其中(zhōng)按行業領域劃分(fēn),位于前三位(注:不計其他企業)的是政府部門(占比28.3%)、互聯網企業(25.3%)、教育機構(9.8%)。
行業領域 | 數量 | 百分(fēn)比 |
---|---|---|
政府部門 | 231 | 28.3% |
教育機構 | 80 | 9.8% |
金融行業 | 57 | 7.0% |
保險行業 | 15 | 1.8% |
證券行業 | 7 | 0.9% |
能源行業 | 4 | 0.5% |
交通行業 | 48 | 5.9% |
電(diàn)信運營商(shāng) | 59 | 7.2% |
互聯網企業 | 206 | 25.2% |
其他企業 | 110 | 13.5% |
總計 | 817 | 100.0% |
表 S-032漏洞網站數量按行業領域統計(來源:wooyun平台)
4月27日,CNVD組織成員(yuán)單位開(kāi)展漏洞應急相關工(gōng)作,相關單位工(gōng)作反饋情況如下(xià)表所示。至5月6日,各成員(yuán)單位共計向CNVD反饋累計超過230個受漏洞影響的黨政機關和重要行業單位網站,其中(zhōng)奇虎360、安恒信息、深信服科技反饋數量位居前三。此外(wài)。根據深信服科技在用戶側的攻擊監測情況,針對S2-032漏洞的攻擊行爲同時也伴随着針對以往Apache Struts 2高危漏洞(如:S2-016)的同步攻擊嘗試。
成員(yuán)單位 | 漏洞分(fēn)析 | 檢測普查 | 攻擊監測 |
---|---|---|---|
安恒信息 | √ | √ | |
深信服科技 | √ | √ | √ |
綠盟科技 | √ | ||
奇虎360 | √ | √ | |
恒安嘉新 | √ | √ | |
安天科技 | √ | √ | |
天融信 | √ | √ | |
華三公司 | √ | ||
上海交通大(dà)學 | √ |
表 CNVD成員(yuán)單位漏洞應急協作反饋情況
根據各方彙總結果,CNVD依托CNCERT國家中(zhōng)心和分(fēn)中(zhōng)心渠道在近一(yī)周内共處置346起涉及黨政機關和重要行業單位網站的S2-032漏洞事件。根據Wooyun平台近日核驗結果,各行業領域單位在接收到S2-032漏洞風險通報後的修複或防護百分(fēn)比如下(xià)表所示,其中(zhōng)金融、保險、證券、能源行業單位修複或防護比例爲100%:
行業領域 | 修複或防護百分(fēn)比 |
---|---|
政府部門 | 93.7% |
教育機構 | 96.6% |
金融行業 | 100.0% |
保險行業 | 100.0% |
證券行業 | 100.0% |
能源行業 | 100.0% |
交通行業 | 96.7% |
電(diàn)信運營商(shāng) | 95.5% |
互聯網企業 | 94.35 |
其他企業 | 93.1% |
表 漏洞修複或防護情況按行業領域統計(來源:Wooyun平台)
針對本次S2-032漏洞的應急工(gōng)作,有如下(xià)小(xiǎo)結:
(一(yī))S2-032漏洞由于影響軟件版本和網站配置條件的限制,實際影響遠不及以往造成大(dà)規模影響的Java反序列化漏洞以及S2-016、S2-005遠程代碼執行漏洞,但同樣吸引了大(dà)量的互聯網攻擊和掃描嘗試。
(二)漏洞細節的披露時間和方式考驗網絡安全從業者的行爲準則。盡管從廠商(shāng)官方發布漏洞公告至公布利用代碼有約一(yī)周時間,但相對于國内互聯網安全發展水平,漏洞修複和應急時間仍然較爲急促,不适當的漏洞細節發布對大(dà)量互聯網站造成直接危害,客觀上制造了威脅熱點。
(三)國内網絡安全監管機構和應急組織要進一(yī)步加大(dà)漏洞風險的通報和處置力度,各行業領域也要不斷提高應急響應意識,同時要積極擴大(dà)應急服務行業覆蓋面,加強網絡邊界防護以及雲防護技術的研究和應用。
附:參考鏈接:
上一(yī)篇:内部威脅那些事兒(一(yī))
下(xià)一(yī)篇:微軟中(zhōng)國CTO:手機裏裝的App上網=裸奔