企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    安全通告

    近日，奇安信CERT监测到Apache官方发布安全更新，其中修复了ApacheStruts2远程代码执行漏洞(CVE-2021-31805)，在某些标签中若后端通过%{...}形式对其属性进行赋值，则将对OGNL表达式进行二次解析，从而执行恶意代码，且该漏洞是S2-061的绕过。此漏洞POC、技术细节已公开，经过奇安信CERT研判，此漏洞POC有效。鉴于此漏洞影响范围极大，建议客户尽快做好自查，及时更新至最新版本或采取缓解措施。

    漏洞信息

    ApacheStruts2是一个用于开发JavaEE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了JavaServletAPI，鼓励开发者采用MVC架构。

    近日，奇安信CERT监测到Apache官方发布安全更新，其中修复了ApacheStruts2远程代码执行漏洞(CVE-2021-31805)，在某些标签中若后端通过%{...}形式对其属性进行赋值，则将对OGNL表达式进行二次解析，从而执行恶意代码，且该漏洞是S2-061的绕过。此漏洞POC、技术细节已公开，经过奇安信CERT研判，此漏洞POC有效。鉴于此漏洞影响范围极大，建议客户尽快做好自查，及时更新至最新版本或采取缓解措施。

    奇安信CERT已成功复现ApacheStruts2远程代码执行漏洞(CVE-2021-31805)，复现截图如下:

    威胁评估

    处置建议

    一、版本升级

    目前官方已有可更新版本，用户可升级至2.5.30版本：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

    二、漏洞缓解措施

    1、可通过设置所有标签中value=""来缓解此漏洞；

    2、将org.apache.commons.collection.BeanMap添加至excludedClasses黑名单中。

    产品解决方案

    奇安信网神网络数据传感器系统产品检测方案

    奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：6072，建议用户尽快升级检测规则库至2204141840以后版本并启用该检测规则。

    奇安信开源卫士已更新

    奇安信开源卫士20220414.1039版本已支持对Struts2远程代码执行漏洞(CVE-2021-31805)的检测。

    奇安信天眼检测方案

    奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.0414.13299或以上版本。规则ID及规则名称：

    0x10020ECC，ApacheStruts2远程代码执行漏洞(CVE-2021-31805)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

    奇安信网神统一服务器安全管理平台更新入侵防御规则库

    奇安信网神虚拟化安全轻代理版本将于4月15日发布入侵防御规则库2022.04.15版本，支持对Struts2远程代码执行漏洞（CVE-2021-31805）的防护，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

    奇安信网神统一服务器安全管理平台将于4月15日发布入侵防御规则库10569版本，支持对Struts2远程代码执行漏洞（CVE-2021-31805）的防护，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

    奇安信网站应用安全云防护系统已更新防护特征库

    奇安信网神网站应用安全云防护系统已全面支持对Struts2远程代码执行漏洞(CVE-2021-31805)的防护。

    参考资料

    [1]https://cwiki.apache.org/confluence/display/WW/S2-062

    [2]http://www.openwall.com/lists/oss-security/2022/04/12/6

    时间线

    2022年4月14日，奇安信CERT发布安全风险通告

    到奇安信NOX-安全监测平台查询更多漏洞详情

    奇安信CERT长期招募安全研究员