到年末做盘点时,没有人会忘记2016年4月26日。
就在这一天,Apache Struts2官方又发布了一份安全公告:
Apache Struts2 服务在开启动态方法调用的情况下可以远程执行任意命令,官方编号 S2-032,CVE编号 CVE-2016-3081。
小白翻译机:
这是自2012年Struts2命令执行漏洞大规模爆发之后,该服务时隔四年再次爆发大规模漏洞。
该漏洞也是今年目前爆出的最严重安全漏洞。
黑客利用该漏洞,可对企业服务器实施远程操作,从而导致数据泄露、远程主机被控、内网渗透等重大安全威胁。
不信这个邪?
请注意第二段的“又”。
要知道,Apache Struts 2是世界上最流行的Java Web服务器框架之一。
从历史 Struts2 漏洞爆发数据看,此前每次漏洞公布都深度影响到了政府、银行、证券、保险等行业。
这一次也不例外。
有图有真相:
![1.JPG](http://studygolang.qiniudn.com/160429/0537076dfe43b0330a42eb2424534c44.JPG)
有时候,安全防御就是与时间赛跑。
公告发出短短数小时,已有多个版本的漏洞利用 POC 在互联网流传,分为命令执行版本与直接写入Web后门的版本。
![3.JPG](http://studygolang.qiniudn.com/160429/a1935fb37c08e43298640591d50a7a0e.JPG)
阿里云平台数据显示,利用Struts2漏洞进行的攻击最早从4月26日早上11点开始。
在8点左右,漏洞在国内某漏洞平台的曝光引发了黑客界半壁江山的集体出动,攻击频率也在此时达到峰值。
黑客在暗处,企业在明处。
Struts2用户该怎么办?
此次漏洞公布后,Web应用防火墙立即添加了防御规则。
同时,还发布了应急修复方案,并立即通知了可能遭受影响的用户。
截止发稿前,阿里云成功为已装了Web应用防火墙的用户经拦截14000余个攻击请求。
![4.JPG](http://studygolang.qiniudn.com/160429/4d8e90869347294e477e81092e41fccd.JPG)
此次漏洞公布,银行再成重灾区。
阿里金融云第一时间无偿给银行等金融机构提供漏洞拦截规则,联手保障金融机构用户信息安全、财产安全。
除了关注与修复,Struts2用户还有更好的选择吗?
阿里云安全品牌云盾家族旗下新品Web应用防火墙已经能够防护此类威胁攻击,直接拦截此漏洞的攻击代码,避免服务器遭受入侵。
云盾Web应用防火墙是什么?
云盾Web应用防火墙,英文为Web Application Firewall, 所以简称 WAF。
基于云安全强大的大数据能力,WAF通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意访问,避免用户的网站资产数据泄露,保障网站的安全与可用性。
都有谁在用云盾Web应用防火墙?
Web应用防火墙从2013年开始在阿里巴巴集团内部使用,经历双11考验。
对用户而言,拥有了Web应用防火墙,也就相当于拥有了淘宝、支付宝同级别安全防护能力!
怎样获得云盾Web应用防火墙使用资格?
人在江湖飘都懂的,每天都有各种通用服务器和插件的漏洞被曝光。
阿里云用户只需要登录后台接入WAF,就能第一时间能了解到相关的安全风险,还能依托WAF自动形成的防护规则,轻松保护网站安全。
特别值得一提的是,非阿里云主机同样可以享有Web应用防火墙强大的防护能力!
有疑问加站长微信联系(非本文作者)