Apache Struts2最新漏洞曝光,勒索病毒事件频发
2021-11-10 11:33:16
Apache Struts2最新漏洞(CVE-2018-11776)为高危远程代码执行漏洞,GlobeImposter勒索病毒则通过内网渗透针对高价值服务器发起攻击,两者均需立即采取防护措施。
一、Apache Struts2最新漏洞(CVE-2018-11776)详情漏洞性质:Semmle研究人员发现Apache Struts2核心组件存在高危远程代码执行(RCE)漏洞,编号为CVE-2018-11776。攻击者可利用该漏洞在受影响服务器上执行任意恶意代码,导致服务器被完全控制。
图:Apache Struts2漏洞攻击链示意图(来源:HackerNews)
影响范围:所有未修复的Apache Struts2版本均受影响,尤其是使用动态方法调用(Dynamic Method Invocation)的服务器风险更高。
修复建议:
立即升级:Apache官方已发布补丁,建议用户升级至最新版本。
临时缓解:
禁用动态方法调用功能(通过配置struts.enable.DynamicMethodInvocation=false)。
限制文件上传类型,避免执行恶意文件。
使用Web应用防火墙(WAF)拦截可疑请求。
攻击手法:
边界突破:攻击者通过暴力破解、钓鱼邮件或漏洞利用(如RDP弱密码)进入内网。
横向移动:使用密码抓取工具(如Mimikatz)获取管理员权限,扫描内网服务器。
精准投毒:人工选择高价值服务器(如数据库、文件服务器)投放勒索病毒,加密关键文件。
图:GlobeImposter攻击流程(来源:E安全)
目标特征:
行业:政府、医疗、金融等关键基础设施领域。
服务器类型:Windows系统、开放高危端口(如3389、445)的服务器。
防御措施:
网络隔离:
关闭不必要的远程服务端口(如RDP、SMB)。
使用跳板机管理内网服务器,限制直接暴露公网的入口。
权限管控:
强制使用复杂密码,定期更换并禁止重复使用。
实施最小权限原则,避免管理员账户滥用。
应急响应:
被攻击服务器立即断网隔离,防止病毒扩散。
联系专业团队分析日志,尝试解密或恢复数据(部分版本存在解密工具)。
关联性:Apache Struts2漏洞可能被攻击者利用作为初始入口点,结合GlobeImposter的横向移动手法,形成“漏洞利用+勒索病毒”的复合攻击链。
综合防护策略:
漏洞管理:
建立自动化漏洞扫描机制,优先修复高危漏洞(如CVE-2018-11776)。
关注CVE、CNVD等漏洞库,及时获取威胁情报。
终端安全:
部署EDR(终端检测与响应)系统,实时监控异常进程行为。
禁用宏代码自动执行(针对Office文档攻击)。
数据备份:
实施“3-2-1备份策略”:3份备份、2种介质、1份异地存储。
定期测试备份恢复流程,确保数据可用性。
员工培训:
开展钓鱼邮件识别、密码安全等安全意识培训。
模拟攻击测试(如红队演练),检验防御体系有效性。
- Trickbot银行木马新变种:通过缩放Word文档触发宏代码执行,建议禁用Office宏功能并更新杀毒软件规则。
- 新型Android间谍软件:基于Triout的恶意软件可窃取通话、短信等敏感数据,用户需从官方应用商店下载应用,避免侧载(Sideloading)。
总结:Apache Struts2漏洞与GlobeImposter勒索病毒的组合威胁需通过“漏洞修复+权限管控+数据备份+终端防护”多维度应对,同时关注其他高风险威胁(如Trickbot、Android恶意软件),构建纵深防御体系。
热门标签
