上周三才修补Struts2漏洞，概念性验证攻击程式周五就现身

Apache软件基金会（Apache Software Foundation）甫于上周三（8/22）修补了编号为CVE-2018-11776的Struts 2安全漏洞，但Recorded Future的安全研究人员上周五（8/24）就在GitHub上发现了该漏洞的概念性验证攻击程式，同时也察觉中国与俄罗斯的数个地下论坛正在热烈讨论如何开采该漏洞。

CVE-2018-11776漏洞被归类为重大（Critical）漏洞，它会在两种情况下被触发，一是当XML配置中未设定命名空间（Namespace），同时上层动作配置没有或使用通配符号命名空间时，其次是所使用的URL标签没有设定行动与值，同时上层动作配置没有或使用通配符号命名空间时，就可能允许骇客执行远端程式攻击，也有机会获得目标系统的存取权限。

Recorded Future的资深安全架构师Allan Liska说明，这意味着骇客只要在一个HTTP请求中，把自己的命名空间加到URL中就能开采该漏洞，有别于Struts 2去年造成Equifax资料外泄的CVE-2017-5638漏洞，CVE-2018-11776相对容易开采，因为成功的开采完全不需要在Struts上安装额外的插件。

Liska指出，Struts是个非常受欢迎的Java框架，也许有数亿个含有该漏洞的系统，但许多执行Struts的服务器皆属后端应用服务器，并不是那么容易辨识，就算是系统所有人也可能错过。

然而，居心不良的骇客可能会诱骗服务器传回一个Java堆叠追踪，或是寻找特定的档案或目录来辨识潜在的Struts服务器。

除了部署Apache软件基金会所释出的更新程式外，Liska也提出了暂时性的补救措施，亦即确保在Struts 2中设定了命名空间。

率先揭露该漏洞的Man Yue Mo则说，他们尚未证实该概念性验证攻击程式是否可行，倘若答案是肯定的，将替骇客带来攻击捷径。