总机:020-87516161 传真:020-87516161-8040
地址:广州市天河北路898号信源大厦3206-3211室 邮编:510660
安全公告编号:CNTA-2016-0020
4月底,Apache Struts2 S2-032远程代码执行漏洞(CNVD-2016-02506,CVE-2016-3081,以下简称S2-032漏洞 )的利用代码被披露并在短时间内迅速传播。CNVD秘书处——国家互联网应急中心(CNCERT)组织CNVD成员单位和合作伙伴对漏洞攻击威胁进行监测并开展了应急处置工作,现将有关情况通报如下:
一、攻击威胁监测情况
根据CNCERT在互联网上的监测结果,近一周来(4月30日00:00至5月6日16:00),互联网上针对该漏洞的攻击和扫描尝试保持在高位状态。尽管后续评估认为本次S2-032漏洞较以往S2-016漏洞的检出率要低得多,但针对特定目标的搜寻(如:利用搜索引擎查找.action页面)以及后续的攻击扫描仍然在黑客地下产业或网络安全从业者中持续进行。从CNCERT近期监测到的后门事件数量看,近一周被境内被植入后门的网站数量出现激增,暂不排除与S2-032漏洞攻击的关联可能性。
图 近一周S2-032攻击和扫描次数监测统计(来源:CNCERT)
图 近一个月境内网站被植入后门数量统计(来源:CNCERT)
根据CNVD技术组成员单位——上海交通大学网络信息中心在教育网内的抽样检测结果,对706个采用Apache Struts 2作为容器软件的网站进行测试,有29个网站存在S2-032漏洞,占比4.1%,而存在S2-016及更低版本远程代码执行漏洞(如:S2-005)的网站有196个,占比28%。为进一步评估S2-032漏洞在各行业领域单位网站的分布情况,CNVD委托WOOYUN平台对相关数据进行检测和整理,如下表所示,境内共有817个网站存在S2-032漏洞,其中按行业领域划分,位于前三位(注:不计其他企业)的是政府部门(占比28.3%)、互联网企业(25.3%)、教育机构(9.8%)。
| 行业领域 | 数量 | 百分比 |
|---|---|---|
| 政府部门 | 231 | 28.3% |
| 教育机构 | 80 | 9.8% |
| 金融行业 | 57 | 7.0% |
| 保险行业 | 15 | 1.8% |
| 证券行业 | 7 | 0.9% |
| 能源行业 | 4 | 0.5% |
| 交通行业 | 48 | 5.9% |
| 电信运营商 | 59 | 7.2% |
| 互联网企业 | 206 | 25.2% |
| 其他企业 | 110 | 13.5% |
| 总计 | 817 | 100.0% |
二、应急处置情况
4月27日,CNVD组织成员单位开展漏洞应急相关工作,相关单位工作反馈情况如下表所示。至5月6日,各成员单位共计向CNVD反馈累计超过230个受漏洞影响的党政机关和重要行业单位网站,其中奇虎360、安恒信息、深信服科技反馈数量位居前三。此外。根据深信服科技在用户侧的攻击监测情况,针对S2-032漏洞的攻击行为同时也伴随着针对以往Apache Struts 2高危漏洞(如:S2-016)的同步攻击尝试。
| 成员单位 | 漏洞分析 | 检测普查 | 攻击监测 |
|---|---|---|---|
| 安恒信息 | √ | √ | - |
| 深信服科技 | √ | √ | √ |
| 绿盟科技 | √ | - | - |
| 奇虎360 | √ | √ | - |
| 恒安嘉新 | √ | √ | - |
| 安天科技 | √ | √ | - |
| 天融信 | √ | √ | - |
| 华三公司 | - | √ | - |
| 上海交通大学 | - | √ | - |
根据各方汇总结果,CNVD依托CNCERT国家中心和分中心渠道在近一周内共处置346起涉及党政机关和重要行业单位网站的S2-032漏洞事件。根据Wooyun平台近日核验结果,各行业领域单位在接收到S2-032漏洞风险通报后的修复或防护百分比如下表所示,其中金融、保险、证券、能源行业单位修复或防护比例为100%:
| 行业领域 | 修复或防护百分比 |
|---|---|
| 政府部门 | 93.7% |
| 教育机构 | 96.6% |
| 金融行业 | 100.0% |
| 保险行业 | 100.0% |
| 证券行业 | 100.0% |
| 能源行业 | 100.0% |
| 交通行业 | 96.7% |
| 电信运营商 | 95.5% |
| 互联网企业 | 94.3% |
| 其他企业 | 93.1% |
三、S2-032漏洞应急情况小结
针对本次S2-032漏洞的应急工作,有如下小结:
(一)S2-032漏洞由于影响软件版本和网站配置条件的限制,实际影响远不及以往造成大规模影响的Java反序列化漏洞以及S2-016、S2-005远程代码执行漏洞,但同样吸引了大量的互联网攻击和扫描尝试。
(二)漏洞细节的披露时间和方式考验网络安全从业者的行为准则。尽管从厂商官方发布漏洞公告至公布利用代码有约一周时间,但相对于国内互联网安全发展水平,漏洞修复和应急时间仍然较为急促,不适当的漏洞细节发布对大量互联网站造成直接危害,客观上制造了威胁热点。
(三)国内网络安全监管机构和应急组织要进一步加大漏洞风险的通报和处置力度,各行业领域也要不断提高应急响应意识,同时要积极扩大应急服务行业覆盖面,加强网络边界防护以及云防护技术的研究和应用。
附:参考链接: