【推廣】Struts2火線(xiàn)補漏，新東網(wǎng)成功規避安全風(fēng)險

發(fā)布時(shí)間： 2016-05-05 10:46:18  

分享到：

上周，Apache Struts2官方發(fā)布了Apache Struts2 遠程任意代碼執行漏洞。事發(fā)當晚，大批金融、互聯(lián)網(wǎng)等企業(yè)及政府單位受該漏洞影響，慘遭入侵。事發(fā)突然，新東網(wǎng)旗下信息安全社區——漏斗社區快速響應，啟動(dòng)應急處置，最大程度降低了此次信息安全危機對新東網(wǎng)業(yè)務(wù)造成的嚴重風(fēng)險和不良影響。

四年一遇大規模安全漏洞威脅

4月26日，Apache Struts2官方公告稱(chēng)，Apache Struts2 服務(wù)發(fā)現了新的遠程任意代碼執行漏洞，官方編號 S2-032，CVE編號 CVE-2016-3081，這是自2012年Struts2命令執行漏洞大規模爆發(fā)后該服務(wù)時(shí)隔四年再次爆發(fā)的大規模漏洞，也是今年為止爆出的最嚴重的安全漏洞。黑客利用該漏洞，可對企業(yè)服務(wù)器實(shí)施遠程操作，從而導致數據泄露、遠程主機被控、內網(wǎng)滲透等重大安全威脅。

Apache Struts 2.0.0版本至Struts2.5.BETA3版本中存在遠程任意代碼執行漏洞，當程序啟用動(dòng)態(tài)方法調用（Dynamic Method Invocation）時(shí)，遠程攻擊者可利用該漏洞在服務(wù)器端執行任意代碼，并導致除已修復漏洞的版本2.3.20.2、2.3.24.2、2.3.28.1以外的Struts2.0.0 - Struts2.5.BETA3所有版本均會(huì )受到影響。

新東網(wǎng)快速啟動(dòng)應急處理機制

事發(fā)當晚，新東網(wǎng)技術(shù)研發(fā)管理部立即啟動(dòng)應急處理機制，嚴格遵循預警——發(fā)現——修復——審計工作流開(kāi)展安全漏洞應急處置工作，并由新東網(wǎng)漏斗社區提供全程技術(shù)支撐。

1、漏洞預警

新東網(wǎng)技術(shù)研發(fā)管理部每天安排專(zhuān)業(yè)技術(shù)人員收集網(wǎng)上公布的重大信息安全風(fēng)險和事件，并實(shí)時(shí)跟蹤分析。4月26日晚，技術(shù)研發(fā)管理部和漏斗社區從多個(gè)渠道了解到Struts2漏洞爆發(fā)的消息，雙方協(xié)作收集梳理了漏洞相關(guān)信息，并將關(guān)鍵信息先行同步至公司內部工作交流小組，讓公司內部員工第一時(shí)間了解漏洞威脅。

2、漏洞發(fā)現

發(fā)布安全預警后，技術(shù)研發(fā)管理部立即通知各項目負責人開(kāi)展漏洞檢查與發(fā)現工作，并根據漏洞特點(diǎn)要求各項目負責人“當天檢查、當天發(fā)現、當天反饋”，同時(shí)還專(zhuān)門(mén)成立漏洞應急處理小組，聯(lián)合漏斗社區針對漏洞發(fā)現過(guò)程中的疑點(diǎn)難點(diǎn)進(jìn)行及時(shí)解答與支持。

3、漏洞修復

在漏洞發(fā)現過(guò)程中，技術(shù)研發(fā)管理部要求各項目負責人在反饋漏洞信息的同時(shí)提出預期漏洞修復時(shí)間及修復方案，嚴格把關(guān)預期修復方案，對于漏洞修復周期較長(cháng)的系統還提供了臨時(shí)處理方案建議，并聯(lián)合漏斗社區在應急處理小組中對漏洞修復工作中存在的疑問(wèn)進(jìn)行了有效地指導。

4、漏洞審計

漏洞修復后，技術(shù)研發(fā)管理部根據修復情況進(jìn)行了持續跟蹤，并每日梳理最新情況。此外，漏斗社區還提供漏洞測試工具，讓各項目負責人能及時(shí)驗證修復情況。

經(jīng)過(guò)與Struts2漏洞一周的抗爭，新東網(wǎng)技術(shù)研發(fā)管理部全面排查了公司相關(guān)系統，及時(shí)發(fā)現受漏洞影響的可能存在風(fēng)險的系統，并全部修復完畢，及時(shí)制止了因該漏洞對公司造成的損失。憑借此次技術(shù)研發(fā)管理部與漏斗社區的通力合作，新東網(wǎng)成功避免業(yè)務(wù)風(fēng)險，相信今后公司內部將繼續發(fā)揮團結協(xié)作的精神，相互支持，共同進(jìn)步。