Struts2 の脆弱性分析: ハッカーの攻撃と防御による公式トラブル

Struts2 の脆弱性分析: ハッカーの攻撃と防御による公式トラブル

著者:顧暁波

Appleの開発者向けウェブサイトがダウンしたことで、1週間前から公開されていたApache Struts2の脆弱性が再び話題となっている。今日、この脆弱性を悪用され、Taobaoのデータベースが盗まれたというニュースがある。Taobaoの関係者はこの発言を否定しているが、Wuyun脆弱性プラットフォームの報告によると、この脆弱性はJD.com、Taobaoなどの大手ウェブサイトに影響を与えているという。

Struts2 はどの程度広く適用されているのでしょうか? この脆弱性はどの程度深刻でしょうか? どの Web サイトが影響を受けるのでしょうか? 何がそんなに恐ろしいのでしょうか? NetEase Technology は複数のセキュリティ専門家に相談し、脆弱性の詳細な解釈を提供しました。

1. Struts 2 の脆弱性とは何ですか?

Struts は、Apache Software Foundation (ASF) が後援するオープン ソース プロジェクトです。Java Servlet/JSP テクノロジを使用して、Java EE Web アプリケーションの MVC 設計パターンに基づくアプリケーション フレームワークを実装します。Struts 2 は、Struts の次世代製品です。Struts 1 と WebWork のテクノロジを統合した新しい Struts 2 フレームワークです。

Struts フレームワークは、政府、公安、交通、金融業界、事業者の Web サイト構築に広く使用されており、Web サイト開発の基盤となるテンプレートとして使用されています。

今回発生した脆弱性は、Struts 2 のリモート実行の脆弱性です。この脆弱性を悪用することで、攻撃者はバックドアをアップロードしたり、Web サイトに侵入したり、ユーザー データベースを盗んだりすることができます。

2. この Struts 2 の脆弱性がこれほど大きな影響を及ぼすのはなぜですか?

まず、Apache は脆弱性の発表で脆弱性エクスプロイト コードを直接公式にリリースしましたが、多くの Web サイトが発表前にパッチを適用しなかったため、これは衝撃的な行為でした。脆弱性が発表された後、脆弱性は猛烈に広がり、脆弱性を直接悪用して侵入する絶対確実なツールが登場しました。パッチを適時に更新しなかった一部のWebサイトが侵入されました。

第二に、Apache Struts2 はアプリケーション フレームワークです。その脆弱性は、タイムリーにパッチがユーザーに送信され、更新後に問題が解決される Windows とは異なります。代わりに、Web マスターと Web サイト保守担当者が自分でパッチを更新する必要があります。そもそも、中国のすべての Web サイト技術者がこの脆弱性に注意を払い、更新するわけではありません。

3つ目は、脆弱性が発表された後、ハッカーは「成果」を示すために、サードパーティのプラットフォームに脆弱性のあるウェブサイトを大量に投稿したことです。それまで脆弱性に注目していなかった多くのハッカーが、脆弱性に注目し、脆弱性を探し始めました。

3. どのウェブサイトが影響を受けましたか?

Wuyun脆弱性プラットフォームの最新の確認済み脆弱性リストには、中国電信や中国聯通などの通信事業者の一部支社、中国科学院の一部サイト、工業情報化部、交通運輸部、中国郵政、テンセント、タオバオ、捜狐などの大手インターネット企業の一部の支社が含まれています。ただし、多くの支社はデータベースに関係していません。

ハッキングされたのは国内のウェブサイトだけではない。アップルの開発者向けウェブサイトがダウンしてから5日後、アップルはついにハッキングされたことを認めた。業界関係者は、Stuts2の脆弱性が原因かもしれないと推測した。その後、Ubuntuの開発者コミュニティもハッキングされ、182万件のユーザーデータが盗まれた。データは暗号化されているが、依然として一定のセキュリティリスクが残っている。

今回最も深刻な影響を受けた企業はJD.comで、高級品サイト360Top、宝くじページ、リチャージページ、支払い成功ページなどのサイトを含むWuyunプラットフォーム上で10件以上の脆弱性が報告された。

4. 影響を受けるウェブサイトには、一部の銀行ウェブサイトや Taobao などの電子商取引ウェブサイトが含まれます。ユーザーにとって危険ですか?

被害に遭ったウェブサイトの中には、データベースを伴わない銀行支店などもあります。しかし、ログイン機能がある場合、ハッカーはユーザーのログイン時にトロイの木馬を使って銀行口座番号やパスワードを盗むことができるため、一定のリスクは残ります。

タオバオは本日、脆弱性が悪用されたという主張を否定する声明を発表した。 Taobao は、いくつかの非常にマイナーなサイトで Stuts 2 フレームワークを使用していましたが、後に独自のフレームワークを開発したため、主なビジネスには影響がありませんでした。

5. ウェブサイトがドラッグされましたか?

データベースドラッグとは、データベースからデータをエクスポートすることを指します。大手のウェブサイトでは通常、データベースが暗号化されており、ハッカーはこれらのデータベースを解読してデータを取得します。

大規模なウェブサイトのデータベースが盗まれたという明確な証拠はなく、ブラックマーケットに新しいデータベースが登場したわけでもない。脆弱性が長い間公表されていなかったため、その影響は数か月後まで明らかにならないかもしれない。

6. 業界の噂

①. ハッカーは忙しい。多くのハッカーはすでにいくつかのウェブサイトの脆弱性を発見し、許可を得ています。Strutsの脆弱性が漏洩した後、他のハッカーが脆弱性を利用してこれらのウェブサイトへの許可を得るのを防ぐために、これらのハッカーは率先して「ゾンビマシン」の脆弱性を修復します。一方、別の波のハッカーは、脆弱性が修復される前に侵入を完了しようとします。そのため、両者は攻防戦を開始し、その間に多くのウェブサイトの脆弱性が「自動的に修復」されていることがわかりました。

②. アパッチは悪事を働く。あるハッカーは、5月に2件のリモート実行の脆弱性を発見したと主張した。その報告後、Apacheの関係者は脆弱性を認める声明を発表しただけで、パッチはリリースしなかった。 Struts に脆弱性が見つかったのは今回が初めてではないが、セキュリティ問題に対する公式の対応は単純かつ粗雑で、修正には複数回のパッチが必要になることもあった。今回は脆弱性を悪用する方法が直接公表されたのがさらに「奇妙」だった。

公式パッチはリリースされましたが、これまでの経験から、パッチによってセキュリティリスクが完全に排除されるかどうかはまだわかりません。

上記の情報は、複数のセキュリティ業界従事者の口頭発言や「Dao Ge's Blackboard」などの公開アカウントから引用したものです。


原題: Struts2 の脆弱性の解釈: 当局がトラブルを引き起こし、ハッカーが攻撃し防御する

キーワード: Struts2、脆弱性、解釈、当事者のトラブル、顧客攻撃、ウェブマスター、ウェブサイト、ウェブサイトのプロモーション、収益化

<<:  ローカルビジネスがローカルSEOサービスから得られるメリット

>>:  ウェブサイトの最適化のための外部リンクに関する詳細な議論 - 以前の自発的なモデルを覆す

推薦する

企業ウェブサイトを構築・運営するための7つのステップ

諺にあるように、軍隊が出発する前に、まず食糧と飼料を送らなければなりません。ウェブサイトを成功させた...

セオアー、何を考えてるの?

これは18日間かけて書いた、完全に手作りの記事です。初心者SEO担当者として、最初に関わる仕事は、会...

#香港: arvixe-月額4ドル/香港/softlayer/1000Mポート/無制限トラフィック

Arvixe は 2003 年から運営されているアメリカの老舗ホスティング会社です。皆さんもよくご存...

ローカル展開と比較したクラウド展開の利点は何ですか?

「あなたのシステムはローカル展開をサポートしていますか?」これは、営業担当者が医療機関のシステム調達...

ソウルもビリビリから「悪循環を断ち切る」方法を学びたい?

ソウルのソーシャルネットワーキングの本来の目的は、商業化の道に逆らう運命にある。ユーザー数の伸び悩み...

inet.ws はどうですか?ドイツ、フランクフルトの VPS のレビュー

inet.ws は、ドイツのフランクフルトデータセンターで、トラフィック制限がなく、優遇価格で非常に...

「トラフィック収益化」には大きな可能性がある

事業者はトラフィック収益化を実践し始めており、「トラフィックパッケージ」や「トラフィックバンク」など...

SEO のためにウェブサイトのタイトルを最適化する方法

石家荘 SEO トレーニングでは、SEO 最適化のウェブサイト タイトルが非常に重要であると考えてい...

第14回51CTO中国企業年次選考の結果が出ました!

【原文は51CTO.comより】2020年1月6日、51CTOが主催した「IT印象◆ビジネスモデルの...

SEO市場と競合調査

SEO を行う前に、市場と競合他社を分析する必要があります。分析は SEO の最初のステップになりま...

Zji: 香港サーバー 生涯割引55%、高周波数CPU、32Gメモリ、1T SSD、20M帯域幅、2IP

zjiは現在、香港葵湾データセンター内の香港独立サーバー(香港物理マシン)を45%割引で提供していま...

ウェブサイトの重さの本当の秘密

ウェブサイトの重さ、SEO に携わる私たちの友人は皆、これが非常に重要であると考えています。多くのウ...

世界的なパンデミックがクラウドコンピューティングの成長を促進

ここ数か月、COVID-19パンデミックは世界的に広がり、世界中のさまざまな業界に大きな影響を与えて...

テンセントWeTest「2017年中国モバイルゲーム品質白書」

テンセントの品質オープンプラットフォームWeTestが「2017年中国モバイルゲーム品質白書」を正式...

Pinduoduoの国境を越えた「人々」

Li Tian (仮名) さんは、マウスを動かしてページを更新した後、ウェブページにいくつかの大きな...