Apache 再次尝试修复其用于 Java 应用程序的 Struts 2 框架中的一个关键远程代码执行漏洞——因为 2020 年发布的第一个补丁并没有完全解决问题。

Struts 2.0.0 到 2.5.29 版本中存在安全漏洞，攻击者可以利用它来控制易受攻击的系统。

山姆大叔的 CISA 已敦促组织尽快升级到补丁版本，例如 2.5.30。

Struts 被广泛使用，这个新旧安全漏洞类似于2017 年 大规模Equifax 漏洞中滥用的 OGNL 注入漏洞。

对象图导航语言 ( OGNL ) 是一种用于 Java 的表达式语言，除其他外，它允许程序员设置和获取 Java 对象属性。正如安全公司 Qualys去年警告的那样，“能够创建属性和更改代码执行，很容易出现严重的安全漏洞。”

早在 2020 年 12 月，GitHub 的漏洞猎手 Alvaro Munoz 和 Aeye 安全实验室的 Masato Anzai在 Struts 2 中发现了一个OGNL 注入漏洞，编号为CVE-2020-17530，在 CVSS 严重性方面获得了 9.8 分（满分 10 分）。

现在证明，该疏忽的补丁并不完整。本周我们了解到，如果应用程序使用该%{...}语法执行强制 OGNL 评估，仍然有可能因恶意用户输入而发生双重评估，从而导致漏洞利用。换句话说，修补过的漏洞仍然可能被精心制作的攻击者提供的数据滥用来劫持易受攻击的系统。

“对不受信任的用户输入使用强制 OGNL 评估可能会导致远程代码执行和安全性下降，”Apache 在 2020 年和现在的安全公告中指出。

当时，Apache 建议开发人员避免对不受信任的用户输入使用强制 OGNL 评估，并升级到 Struts 2.5.26，软件基金会表示将检查表达式评估以确保它不会导致双重麻烦。

最近，Chris McCown发现CVE-2020-17530 的修复程序不完整。结果，Apache 再次敲响了升级-Struts-now 的警报。

Java错误不断出现
Struts 漏洞是在其他 Java 缺陷之后出现的。

上个月末，VMware 威胁研究人员在基于 Java 的Spring Framework中发现了一个 RCE 漏洞，攻击者几乎立即开始利用该漏洞。Check Point 分析师仅在第一个周末就看到了大约37,000 次利用尝试，并表示全球约有 16% 的组织受到编程错误的影响。

最近，趋势科技研究人员表示，犯罪分子正在利用该漏洞运行 Mirai僵尸网络恶意软件。

与此同时，Palo Alto Networks 的 Unit42 安全分析师写道，他们预计被称为 Spring4Shell 的 Spring 漏洞“被完全武器化并被更大规模地滥用”，因为对该漏洞的利用是“直截了当的，所有相关的技术细节都已经消失在网上疯传。”

大量组织仍在努力修补广泛使用的 Apache 日志库中的 Log4j 漏洞。该漏洞于去年年底被发现，截至 3 月，不法分子仍在利用该漏洞安装后门和加密挖掘恶意软件。

据 Qualys 称，在 2021 年 12 月 Log4j 漏洞披露后的 72 小时内进行了近100 万次利用尝试。两个月后，30% 的 Log4j 实例显然仍然容易受到攻击。