Struts2 S2-049 拒绝服务漏洞分析报告

2018-04-11 10:02:38 浏览数 (1)

安全通告

尊敬的客户:

2017年7月11日,Struts2官方公布最新的Struts2漏洞公告-编号S2-049。该漏洞公告中说明:在一定条件下该漏洞可造成拒绝服务。安恒信息应急响应中心已启动“黄色”预警预案。

安恒信息应急响应中心将对该漏洞进行持续关注,并第一时间为您更新相关漏洞信息。

安恒信息应急响应中心

2017年7月12日

漏洞信息

漏洞描述

Struts2是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。

当开发人员在Struts框架中使用Spring AOP例如Spring Security来做权限控制的时候,则可能存在拒绝服务。

漏洞危害

影响版本

Struts 2.5-Struts 2.5.10.1

漏洞利用前置条件

使用Spring Security,并且认证成功的情况下。

风险等级

安恒信息应急响应中心将此漏洞安全风险定级为:中危

漏洞分析

AOP概念:AOP(Aspect Oriented Programming),即面向切面编程,可以说是OOP(Object Oriented Programming,面向对象编程)的补充和完善。OOP引入封装、继承、多态等概念来建立一种对象层次结构,用于模拟公共行为的一个集合。不过OOP允许开发者定义纵向的关系,但并不适合定义横向的关系,例如日志功能。日志代码往往横向地散布在所有对象层次中,而与它对应的对象的核心功能毫无关系对于其他类型的代码,如安全性、异常处理和透明的持续性也都是如此,这种散布在各处的无关的代码被称为横切(cross cutting),在OOP设计中,它导致了大量代码的重复,而不利于各个模块的重用。AOP技术恰恰相反,它利用一种称为"横切"的技术,剖解开封装的对象内部,并将那些影响了多个类的公共行为封装到一个可重用模块,并将其命名为"Aspect",即切面。所谓"切面",简单说就是那些与业务无关,却为业务模块所共同调用的逻辑或责任封装起来,便于减少系统的重复代码,降低模块之间的耦合度,并有利于未来的可操作性和可维护性。

使用"横切"技术,AOP把软件系统分为两个部分:核心关注点和横切关注点。业务处理的主要流程是核心关注点,与之关系不大的部分是横切关注点。横切关注点的一个特点是,他们经常发生在核心关注点的多处,而各处基本相似,比如权限认证、日志、事物。AOP的作用在于分离系统中的各种关注点,将核心关注点和横切关注点分离开来。

Spring在使用AOP的时候存在两种代理方式:

如果被代理的类是接口的话则使用jdk自带的动态代理来实现。

当需要代理的类不是代理接口的时候,Spring会切换为使用CGLIB代理。

Spring Security在使用CGLIB在创建Proxy的时候会注册。

org.springframework.aop.framework.Advised接口实现以及属性到动态生成的代理类里面。如下图(Spring Security使用aop cglib动态增加生成的):

但是Struts2调用Spring Security AOP代理生成的Action,经过ParametersInterceptor拦截器的时候可以设置被代理的Action的属性。从而导致被代理类里面某些动态设置的属性值被篡改,产生拒绝服务。可控属性如下图:

PS:如何导出被代理的类?通过设置jvm参数

-Dcglib.debugLocation="/Users/nike/Desktop/" =后面就是导出的class路径。

漏洞自查

判断是否在Struts2中使用Spring Security来控制访问权限。

修复建议

官方补丁

  • 目前官方已发布补丁,用户可升级至Struts2 2.5.12版本。

其他解决方案

  • 安恒玄武盾默认规则即可防范该漏洞,如有需要可以联系安恒信息客服人员,将您的网站快速接入到玄武盾。
  • 安恒APT(网络战)通报预警平台支持对Struts2 S2-049远程拒绝服务漏洞的检测。 连接云端的APT设备会自动更新策略,未连接云端的APT设备可从百度云盘上下载最新更新包手工更新: 云盘链接 http://pan.baidu.com/s/1hsQQIuK 密码 qnu7
  • 安恒WAF已支持对该漏洞的防护。部署WAF产品的用户请确保将规则库升级到最新版本即可防范该漏洞。

- END -

0 人点赞