威脅簡報：有關重要 Apache Struts 弱點 CVE-2018-11776 的資訊

This post is also available in: English (英語) Deutsch (德語) 한국어 (韓語) Nederlands (荷蘭語) Türkçe (土耳其語) Español (西班牙語) Italiano (義大利語)

情況概述

2018 年 8 月 22 日，Apache Foundation 發佈重要的安全更新 CVE-2018-1176，這是會影響 Apache Struts 2.3 至 2.3.34 版和 2.5 至 2.5.16 版的遠端程式碼執行弱點。Apache Foundation 已敦促各方盡快套用安全更新。

這個部落格提供相關資訊以利組織評估其弱點風險，並向 Palo Alto Networks 客戶提供防護措施，有助於在套用安全更新之前降低風險。Palo Alto Networks 客戶只需部署 2018 年 8 月 24 日發佈的最新弱點特徵碼，即可獲得充分的保護。

弱點資訊

Apache Foundation 和安全研究人員 Man Yue Mo 指出，伺服器執行具有弱點的 Apache Struts 版本時，此弱點可以在該伺服器上啟用遠端程式碼執行。攻擊方法是透過向具有弱點的系統發送特製的 URL。在大多數情況下，這表示無需驗證即可入侵此弱點。

攻擊得逞後即可在 Struts 使用的安全脈絡中執行程式碼。在某些情況下，這可能會導致系統遭到完全入侵。

但是，必須注意，在預設設定下無法入侵此弱點。若要成功攻擊系統，必須滿足下列兩項條件：

1. alwaysSelectFullNamespace 旗標在 Struts 設定中設為「true」。(注意：如果您的應用程式使用常用的 Struts Convention 外掛程式，則外掛程式預設會將此旗標設定為「true」)。
2. Struts 應用程式會使用未指定命名空間而設定的「動作」，或使用萬用字元命名空間設定的「動作」。此條件適用於 Struts 設定檔案中指定的動作和命名空間。注意：如果您的應用程式使用常見的 Struts Convention 外掛程式，此條件也適用於 Java 程式碼中指定的動作和命名空間。

如果您的 Struts 應用程式不滿足這兩項條件，您的應用程式可能仍然存在弱點，但是目前不會遭受 CVE-2018-11776 的入侵。

尤其是，如果您的應用程式使用常見的 Struts Convention 外掛程式，則相較於不使用該外掛程式的其他 Struts 實作案例，這似乎可能會提高遭到入侵的風險。

威脅環境資訊

該弱點於 8 月 22 日與解決該弱點的安全更新一起披露。其中詳細解說此弱點及其目前的入侵方式。另外也提供觀念驗證 (PoC) 程式碼。如上所述，PoC 僅適用於具有弱點且滿足可入侵條件的系統。

有些人注意到，去年在一個安全更新和弱點資訊發佈僅三天後，一個重大的 Struts 弱點即遭到主動攻擊。

目前沒有已知的主動攻擊，而且必須要滿足兩個非預設條件才能入侵此弱點，因此我們所面臨的威脅環境與此不同。

但是，利用現有的 PoC，透過有限的觀察和分析，我們認為在短期內仍可能會出現對於此弱點的入侵。

組織應該對於可能發生的攻擊進行風險評估，直到能夠修補這四個方面為止：

1. 您是否在使用 Struts Convention 外掛程式？
2. 它們是否滿足入侵所需的兩項條件？
3. 目前的 PoC 是否有被武器化或用於攻擊的跡象？
4. 新的 PoC 或攻擊的發展是否使得入侵所需的兩項條件變成非必要？

為 Palo Alto Networks 客戶提供的指導和防護建議

執行具有弱點的 Apache Struts 版本的所有組織都應盡快部署安全更新。

組織可以而且應該根據安全政策和風險評估以及目前可用的資訊，優先安排和部署安全更新。

已在 2018 年 8 月 24 日發佈的內容發行版本 8057 (其中包括 ID 33948 名稱：Apache Struts 2 Remote Code Execution Vulnerability) 中部署弱點特徵碼的 Palo Alto Networks 客戶，將會得到保護，有效防禦目前已知針對該弱點發動的入侵。

我們的客戶仍應按照上述建議部署安全更新，但是可以而且應該立即部署最新的弱點特徵碼，以獲得更完善的保護。由於有這種更完善的保護可供採用，我們的客戶在進行有關安全和安全更新部署的決策，以及對弱點和威脅環境進行風險評估時，可以而且應該對此進行考慮。

一如往常，我們正密切監控情勢，如果更多詳細資訊將會即刻為您奉上。