互联网再曝"惊天漏洞"

2013年07月25日 文摘来源： 南方日报

近日，一个名为“Struts 2”的安全漏洞不仅让众多知名网站陷入安全危机，也让金山安全中心、瑞星互联网攻防实验室、360互联网安全中心等信息安全防护机构同时拉响了红色警报。

什么是Struts 2？据介绍，这是多个存在于网站应用框架Struts中的底层软件漏洞，这个漏洞影响力很大却偏偏利用难度低，利用该漏洞，“菜鸟”也可以使用攻击工具直接控制网站服务器，盗取用户数据库，获取网站注册用户的账号密码和个人资料。也正是因此，“Struts 2”被互联网安全领域人士看作是“互联网历史上又一重大安全危机”。

　　Struts 2漏洞恐危及多家电商

　　据南方日报记者了解， Struts是Apache基金会Jakarta项目组的一个开源项目，它采用MVC 模式，帮助java开发者利用J2EE开发Web应用。目前，Struts广泛应用于大型互联网企业、政府、金融机构等网站建设，并作为网站开发的底层模板使用。瑞星安全专家介绍，本次曝出的2个漏洞是由于缩写的导航和重定向前缀“action：”、“redirect：”、“redirectAction：”造成的。瑞星安全专家表示，由于这些参数前缀的内容没有被正确过滤，导致黑客可以通过漏洞执行命令，获取目标服务器的信息，并进一步取得服务器最高控制权。届时，被攻击网站的数据库将面临全面泄密的威胁，同时黑客还可以通过重定向漏洞的手段，对其他网民进行钓鱼攻击或挂马攻击。

　　360安全专家石晓虹博士在接受采访时表示，由于Struts 2属于底层框架，其漏洞影响范围广、利用难度低，“菜鸟”也可以使用攻击工具直接控制网站服务器，盗取用户数据库。“2011年底多家网站‘密码库’泄露事件有可能再次上演。”据资料显示，2011年12月，CSDN的安全系统遭到黑客攻击，600万用户的登录名、密码及邮箱遭到泄露。随后，CSDN“密码外泄门”持续发酵，天涯、世纪佳缘、人人网等网站相继被曝用户数据遭泄密。天涯网更发布致歉信，称天涯4000万用户隐私遭到黑客泄露，据统计，CSDN“密码外泄门”造成超过1亿账号密码被曝光在网上。而如今Struts 2漏洞更被不少业内人士看作是CSDN“密码外泄门”后，中国互联网领域中又一次大量用户个人信息泄露的“惨剧”。南方日报记者在一份“乌云网公布的存在漏洞的网站名单”内看到，受Struts 2漏洞影响的网站不乏天极网、百合网、网易、17173、乐蜂网等国内知名互联网网站。而据金山安全专家表示，由于国内大量电子商务网站基于Struts建设，在这次Struts 2漏洞风暴中或将沦为重灾区。

　　意识漏洞比技术漏洞更可怕

　　“互联网数据大规模被泄露，这种情况已经存在很长时间，长久以来国内整个信息系统都存在着问题。这是所有的网络公司存在的问题。”CSDN总裁蒋涛曾经就国内互联网安全问题发表过自己的看法，“第三方数据安全审计公司对各网站的扫描结果显示，80%以上的互联网公司都存在着漏洞，有安全策略的公司60%以上还存在着漏洞，这是我们互联网的现状。”蒋涛认为国内互联网公司当前普遍存在两个现状，一是重视业务，二是缺乏安全意识，对于数据安全和系统安全认识不够。

　　有安全领域专家在接受记者采访时就表示，Struts 2漏洞并非第一次爆发，类似的问题其实一直都存在于互联网领域内，但是由于之前并未被黑客加以利用而造成太大影响，所以让很多网站的安全管理人员不够重视并心存侥幸。据南方日报记者了解，国内大量的网站均存在该漏洞，但大部分网站连Stuts 2之前的老漏洞都尚未进行过修复，而在本次Struts 2漏洞出现后，使得用户的个人信息成为了黑客眼中的“鱼肉”。

　　“我们金山毒霸能做的比较有限。”作为互联网安全软件，金山网络相关负责人在接受南方日报记者采访时坦言，在面对类似Struts 2漏洞的网络安全威胁时，一般的互联网安全软件的作用仅仅是提醒用户，但是主动能够提供的防御非常有限。有安全领域专家表示，目前还没有确切证据标明已经有大型网站的数据库被拖库（拖库是指将从数据库导出数据，各大网站通常会将数据库进行加密，黑客会将这些数据库破解并获得数据），而黑市上也没有新的数据库出现，主要是由于Struts 2漏洞公开的时间不长，影响可能要到几个月后才会显现。

　　面对新漏洞，我们怎么防？

　　瑞星安全专家提醒广大网站管理员，应到Struts 2的官方网站下载最新的补丁程序，尽快将Struts 2升级到最新的2.3.15.1版本，以避免可能遭遇的严重安全威胁。

　　金山毒霸提醒普通网民高度注意以下两点：1.近期需要特别重视防骗：可能会有攻击者利用泄露出来的网民个人信息大量行骗。2.建议修改重要的网站登录密码（如购物网站、重要电子邮箱等），有一个密码通行所有网站的用户必须改变这种不良习惯，因攻击者可以轻易使用原来的密码去尝试登录更多网络服务。（南方日报记者 叶丹）

    【记者观察】

    手机或成下一个安全“黑洞”

    先是经历了CSDN“密码外泄门”，如今又有Struts 2漏洞，互联网上的安全问题似乎一次又一次地在刺激着我们的神经，从最早的“泄露又何妨”，到现在的“泄露我要防”，从网民角度来看，的确对在互联网上的安全重视程度有了一定的提高，但是在所有的安全威胁面前，“未雨绸缪”总是要比“亡羊补牢”来得更有作用。而在笔者看来，随着智能手机和移动互联网的发展，智能手机的安全问题则更加应该是大家未雨绸缪加强重视的领域。

    智能手机的安全威胁其实来得比想象中要更多更早。根据网秦发布的《2013年上半年网秦全球手机安全报告》显示，网秦“云安全”监测平台2013年上半年查杀到手机恶意软件就达到了51084款，同比2012年上半年增长189%；2013年上半年感染手机2102万部，同比2012年上半年增长63.8%。2013年上半年手机恶意软件感染设备数量相较于2012年上半年整体有所增长，其中2013年6月份增长最为迅速，同比2012年6月份增长80%。而近日有网民在安装一款应用程序之后更是发现自己的支付宝被用红包支付的方式盗用了1980元。金山毒霸安全中心在捕获这款截取安卓手机短信的后门程序后分析发现这个后门对手机支付安全存在重大威胁，该案件也是首例通过手机后门窃取用户钱财的案例。

    对于每一个网民而言，未来越来越多地使用智能手机作为上网终端已经成为了不争的事实，而这种趋势带来的除了是移动互联网的发展外，智能手机的安全威胁也将会是伴随而来的重要问题，如果不想诸如CSDN“密码外泄门”和“Struts 2漏洞”之类的“悲剧”发生在手机上，全行业尽早针对移动互联网安全进行规范化的管理无疑是当务之急。（叶丹）