上周三才修補Struts 2漏洞，概念性驗證攻擊程式周五就現身

Apache軟體基金會（Apache Software Foundation）甫於上周三（8/22）修補了編號為CVE-2018-11776的Struts 2安全漏洞，但Recorded Future的安全研究人員上周五（8/24）就在GitHub上發現了該漏洞的概念性驗證攻擊程式，同時也察覺中國與俄羅斯的數個地下論壇正在熱烈討論如何開採該漏洞。

CVE-2018-11776漏洞被歸類為重大（Critical）漏洞，它會在兩種情況下被觸發，一是當XML配置中未設定命名空間（Namespace），同時上層動作配置沒有或使用通配符號命名空間時，其次是所使用的URL標籤沒有設定行動與值，同時上層動作配置沒有或使用通配符號命名空間時，就可能允許駭客執行遠端程式攻擊，也有機會獲得目標系統的存取權限。

Recorded Future的資深安全架構師Allan Liska說明，這意味著駭客只要在一個HTTP請求中，把自己的命名空間加到URL中就能開採該漏洞，有別於Struts 2去年造成Equifax資料外洩的CVE-2017-5638漏洞，CVE-2018-11776相對容易開採，因為成功的開採完全不需要在Struts上安裝額外的外掛程式。

Liska指出，Struts是個非常受歡迎的Java框架，也許有數億個含有該漏洞的系統，但許多執行Struts的伺服器皆屬後端應用伺服器，並不是那麼容易辨識，就算是系統所有人也可能錯過。

然而，居心不良的駭客可能會誘騙伺服器傳回一個Java堆疊追蹤，或是尋找特定的檔案或目錄來辨識潛在的Struts伺服器。

除了部署Apache軟體基金會所釋出的更新程式外，Liska也提出了暫時性的補救措施，亦即確保在Struts 2中設定了命名空間。

率先揭露該漏洞的Man Yue Mo則說，他們尚未證實該概念性驗證攻擊程式是否可行，倘若答案是肯定的，將替駭客帶來攻擊捷徑。