8月22日，Apache wiki更新了一個Struts2的遠程代碼執行漏洞(S2-057)，漏洞威脅等級為高危，漏洞對應的CVE編號為CVE-2018-11776。由于漏洞POC已經暴露，深信服緊急預警，提醒廣大Stutst2用戶做好安全防護措施。

漏洞名稱：Struts2遠程代碼執行漏洞(S2-057)
漏洞類型：遠程代碼執行漏洞
漏洞威脅：高危
漏洞利用難度：容易

漏洞分析

Struts2是一個基于MVC設計模式的Web應用框架。在MVC設計模式中，Struts2作為控制器(Controller)來建立模型與視圖的數據交互。Struts2以WebWork為核心，采用攔截器的機制來處理用戶的請求，這樣的設計也使得業務邏輯控制器能夠與ServletAPI完全脫離開，所以Struts2可以理解為WebWork的更新產品。

漏洞說明

Struts2 中定義struts-actionchaining.xml配置時如果沒有設置namespace的值，并且上層動作配置中并沒有設置或使用通配符namespace時，可能會導致遠程代碼執行漏洞的發生。同樣也可能因為url標簽沒有設置value和action的值，并且上層動作并沒有設置或使用通配符namespace，從而導致遠程代碼執行漏洞的發生。

據統計，在全球范圍內對互聯網開放Struts2的資產數量多達6,343臺，其中歸屬中國地區的受影響資產數量為1,218臺。具體數據如下圖：

漏洞復現

觸發此漏洞的前提是：

• 使用了Struts 2.3 - Struts 2.3.34，Struts 2.5 - Struts 2.5.16版本的Struts2的框架struts-actionchaining.xml配置文件中的 中沒有為namespace賦值，并且配置了重定向 

此漏洞利用比較簡單，只需要在url構造ognl表達式，再加上配置文件中的action標簽中的name屬性值，并以.action結尾，如下圖所示：

訪問即可看到構造的ognl表達式已經被執行。

路徑跳轉到 下配置的action文件路徑下，S2-057漏洞被成功的利用。

影響版本

Apache Struts2 >=2.3，<=2.3.34

Apache Struts2 >=2.5，<=2.5.16

以及其他一些不受支持的Struts版本也可能受到影響。

解決方案

漏洞檢測

深信服安全云已完成該漏洞的檢測更新，對所有用戶網站探測，保障用戶安全。不清楚自身業務是否存在漏洞的用戶，可注冊 信服云眼賬號，獲取30天免費安全體驗。

注冊地址：https://saas.sangfor.com.cn

漏洞修復

目前Apache官方已經在發布的新版本中修復了該漏洞，建議用戶及時下載最新版本（2.3.35或2.5.17版本）并更新。

下載地址：https://archive.apache.org/dist/struts/

目前官方提供了臨時修復方案：當上層動作配置中沒有設置或使用通配符namespace時，驗證所有XML配置中的namespace，同時在JSP中驗證所有url標簽的value和action。

漏洞防御

深信服 下一代防火墻可輕松防御此漏洞，部署深信服下一代防火墻的用戶開啟安全防護規則，可輕松抵御此高危風險。其中，AF最新版本8.0.5，針對struts2攻擊的原理，從根本上解決了所有已知、未知的struts2攻擊，用戶無需再擔心struts2的安全問題。

深信服云盾已第一時間從云端自動更新防護規則，云盾用戶無需操作，即可輕松、快速防御此高危風險。

咨詢與服務

深信服安全云平臺提供24小時緊急事件聯系電話400-630-6430 ，按1選擇技術支持服務，輸入服務號18174295709按 #號鍵開始熱線服務，轉5進入云眼云盾服務。（人工電話服務截止日期2018-8-30）