这两天,Struts 2又爆出了新漏洞,相信各位安全圈同仁、各位关注安全圈的朋友,都已经知道了——S2-032这个大杀器!

那么,这个漏洞到底有多厉害呢?来个乌云漏洞平台的截图看看吧:

image001

当然,这也仅仅是其中极少的一部分!紧接着又有圈内人士贴出了更全的图:

image004

由于影响到的几乎都是银行的系统,所以我们特意抹掉了名称。但这也仅仅是昨天下午、傍晚提交的而已,影响到的网站一共有多少?估计谁也说不清!

影响力这么大的漏洞,是谁挖到的呢?—— 虽然国内各个安全厂家都在写分析文章,但提到漏洞提交者的并不多,以至于很多朋友都认为这又是国外的漏洞研究者挖出来的。其实,漏洞的报告者来自杭州安恒信息技术有限公司!安恒安全研究院的Nike Zheng。

image000005

这个漏洞的经典程度,我想被誉为“安全圈教主”的tombkeeper昨天发的一条微博很有代表意义:

image007

对,就是经典的能让老外拿Google Translate找过来瞅的!

昨天下午漏洞开始大规模传播,包括利用工具……所以昨晚各位安恒的同事们好多都在加班!

20160427201759

由于此次事件爆发太快,所以当晚10点半之后,有多位同事赶到公司加班(或在家加班),为了保证第一时间能给更多的客户更多种漏洞检测的选择(如Web扫描器检测、专用工具检测、在线工具检测等),不同产品部门的同事们通力协作,苦干通宵!

努力一定会有成果——截至天亮前:

  • 安恒明鉴WEB应用弱点扫描器已可扫描此漏洞。
  • 安恒Struts2 s2-032批量检测工具已发布,可由安恒安全专家帮客户免费测试漏洞;
  • 安恒Struts2 s2-032在线检测工具上线 http://0day.websaas.cn/
  • 安恒明御Web应用防火墙和“玄武盾”云WAF系统可防护Struts2 s2-032漏洞;
  • 安恒“风暴中心”已经对主要政务、金融网站开启监测模式,存在漏洞的网站将第一时间通知客户。

天道酬勤,向奋斗在网络安全前沿的朋友们致敬!

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。

陕ICP备11003551号-2