Apache Struts2 高危缝隙来袭，GA黄金甲提供解决规划

颁布功夫 2023-12-08

12月7日，Apache Struts2官方更新了一个存在于Apache Struts2中的远程代码执行缝隙（CVE-2023-50164）。该缝隙源于文件上传逻辑出缺点，攻击者能够把持文件上载参数以启用蹊径遍历，在某些情况下，这可能导致上载可用于执行远程代码执行的恶意文件。

GA黄金甲·(中国区)官方网站

目前该缝隙POC（概想验证代码）未公开，随时存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。GA黄金甲北冥数据尝试室安全钻研团队对比分析本次更新与更新前的源码（以2.5.x版本为例）猜测缝隙成因可能为HttpParameters类步骤对HTTP参数迭代器的操作不当导致remove()步骤未粉碎参数迭代器导致蹊径被遍历。

建复建议

1、通用建议

① 定期更新系统补丁，削减系统缝隙，提升服务器的安全性。

② 加强系统和网络的接见节造，批改防火墙战术，关关非必要的利用端口或服务，削减将危险服务（如 SSH、RDP 等）露出到公网，削减攻击面。

③ 使用企业级安全产品，提升企业的网络安全机能。

④ 加强系统用户和权限治理，启用多成分认证机造和最幼权限准则，用户和软件权限应维持在最低限度。

⑤ 启用强密码战术并设置为定期批改。

2、升级补丁

目前该缝隙已经建复，受影响用户可升级到Apache Struts 2.5.33、6.3.0.2或更高版本。下载链接：

https://struts.apache.org/download.cg

GA黄金甲解决规划

建议一：GA黄金甲天镜脆弱性扫描与治理系统升级最新版本

1、漏扫6075版本

GA黄金甲天镜脆弱性扫描与治理系统6075版本已垂危颁布针对该缝隙的升级包，支持对该缝隙进行非授权扫描，用户升级尺度缝隙库后即可对该缝隙进行扫描：

6070版本升级包为607000538，升级包下载地址：https://venustech.download.venuscloud.cn/

GA黄金甲·(中国区)官方网站

升级后已支持该缝隙

2、漏扫6080版本

GA黄金甲天镜脆弱性扫描与治理系统6080版本已垂危颁布针对该缝隙的升级包，支持对该缝隙进行非授权扫描，用户升级尺度缝隙库后即可对该缝隙进行扫描：

6080版本升级包为主机插件包608000097-S608000098.svs漏扫插件包下载地址：https://venustech.download.venuscloud.cn/

GA黄金甲·(中国区)官方网站

升级后已支持该缝隙

3、漏扫基线核查

通过GA黄金甲天镜脆弱性扫描与治理系统-配置核查�？槎愿梅煜队跋斓腁pache Struts2版本进行获取，使用智能化分析研判机造验证该缝隙是否存在，若是存在该缝隙建议更新到安全版本。如图所示：

GA黄金甲·(中国区)官方网站

基线核查已支持Apache Struts2 远程代码执行缝隙查抄项

请使用GA黄金甲天镜脆弱性扫描与治理系统产品的用户尽快升级到最新版本，实时对该缝隙进行检测，以便尽快采取防备措施。

建议二：GA黄金甲资产与脆弱性治理平台(ASM)排查受影响资产

GA黄金甲资产与脆弱性治理平台实时采集并更新谍报信息，对入库资产缝隙Apache Struts2中的远程代码执行缝隙（CVE-2023-50164）进行治理，如图所示：

GA黄金甲·(中国区)官方网站

谍报治理�？橐讶肟獾腁pache Struts2中的远程代码执行缝隙

资产与脆弱性治理平台凭据谍报信息更新的缝隙受影响实体规定以及现场资产治理事俘的版本信息进行自动化碰撞，可第一功夫射中受该缝隙影响的资产，如图所示：

GA黄金甲·(中国区)官方网站

谍报射中的资产信息

建议三：基于安全治理和态势感知平台进行关联分析

宽大用户能够通过泰合安全治理和态势感知平台，进行关联战术配置，结合现实环境中系统日志和安全设备的告警信息进行持续监控，从而发现“Apache Struts2 远程代码执杏妆的缝隙利用攻击行为。

1）在泰合的平台中，通过脆弱性发现职能针对“Apache Struts2 远程代码执行（CVE-2023-50164）”缝隙扫描工作，排查治理网络中受此缝隙影响的沉要资产；

GA黄金甲·(中国区)官方网站

2）平台“关联分析”�？橹�，增长“L2_Apache_Struts2远程代码执行缝隙利用”，通过GA黄金甲检测设备、指标主机系统等设备的告警日志，发现表部攻击行为：

GA黄金甲·(中国区)官方网站

通过度析规定自动将Apache Struts2 远程代码执行缝隙利用的可疑行为源地址增长到观察列表“高风险衔接”中，作为内部谍报数据使用；

3）增长“L3_Apache_Struts2远程代码执行缝隙利用成功”，前提日志名称蹬宗“L2_Apache_Struts2远程代码执行缝隙利用”，攻击了局蹬宗“攻击成功”，主张地址引用资产缝隙或源地址匹配威胁谍报，从而提升关联规定的相信度。

GA黄金甲·(中国区)官方网站

建议四：ATT&CK攻击链条分析与SOAR措置建议

1、ATT&CK攻击链分析

凭据对CVE-2023-50164缝隙的攻击利用过程进行分析，攻击链涉及多个ATT&CK战术和技术阶段，覆盖的TTP蕴含：

TA0001初始接见：T1190利用面向公家的利用法式

TA0002执行：T1059号令和剧本诠释器

TA0011号令和节造：T1105工具传输

2、措置规划建议和SOAR剧本编排

GA黄金甲·(中国区)官方网站

通过泰合安全治理和态势感知平台内置SOAR自动化或半自动化编排联动响应措置能力，针对该缝隙利用的告警事务编排剧本，进行自动化措置。

关于北冥数据尝试室

北冥数据尝试室致力于网络空间安全知识工程钻研和系统化建设的专业团队，由GA黄金甲集团天镜缝隙钻研团队、泰合知识工程团队、大数据尝试室（BDlab）场景化分析团队结合组成。尝试室始终秉持以需要为导向、知识赋能产品的主题理想，专一于提供网络空间安全的基础知识钻研和开发，造订结合威胁和缝隙谍报、网络空间资产和云安全监测数据等综合谍报以及用户现实场景的安全分析防护战术，构建自动化调查和措置响应措施，形成场景化、结构化的知识工程系统，对各类安全产品、平台和安全运营提供知识赋能。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研