【推廣】Struts2火線補漏,新東網(wǎng)成功規(guī)避安全風險
發(fā)布時間: 2016-05-05 10:46:18
上周,Apache Struts2官方發(fā)布了Apache Struts2 遠程任意代碼執(zhí)行漏洞。事發(fā)當晚,大批金融、互聯(lián)網(wǎng)等企業(yè)及政府單位受該漏洞影響,慘遭入侵。事發(fā)突然,新東網(wǎng)旗下信息安全社區(qū)——漏斗社區(qū)快速響應,啟動應急處置,最大程度降低了此次信息安全危機對新東網(wǎng)業(yè)務造成的嚴重風險和不良影響。
四年一遇大規(guī)模安全漏洞威脅
4月26日,Apache Struts2官方公告稱,Apache Struts2 服務發(fā)現(xiàn)了新的遠程任意代碼執(zhí)行漏洞,官方編號 S2-032,CVE編號 CVE-2016-3081,這是自2012年Struts2命令執(zhí)行漏洞大規(guī)模爆發(fā)后該服務時隔四年再次爆發(fā)的大規(guī)模漏洞,也是今年為止爆出的最嚴重的安全漏洞。黑客利用該漏洞,可對企業(yè)服務器實施遠程操作,從而導致數(shù)據(jù)泄露、遠程主機被控、內(nèi)網(wǎng)滲透等重大安全威脅。
Apache Struts 2.0.0版本至Struts2.5.BETA3版本中存在遠程任意代碼執(zhí)行漏洞,當程序啟用動態(tài)方法調(diào)用(Dynamic Method Invocation)時,遠程攻擊者可利用該漏洞在服務器端執(zhí)行任意代碼,并導致除已修復漏洞的版本2.3.20.2、2.3.24.2、2.3.28.1以外的Struts2.0.0 - Struts2.5.BETA3所有版本均會受到影響。
新東網(wǎng)快速啟動應急處理機制
事發(fā)當晚,新東網(wǎng)技術(shù)研發(fā)管理部立即啟動應急處理機制,嚴格遵循預警——發(fā)現(xiàn)——修復——審計工作流開展安全漏洞應急處置工作,并由新東網(wǎng)漏斗社區(qū)提供全程技術(shù)支撐。
1、漏洞預警
新東網(wǎng)技術(shù)研發(fā)管理部每天安排專業(yè)技術(shù)人員收集網(wǎng)上公布的重大信息安全風險和事件,并實時跟蹤分析。4月26日晚,技術(shù)研發(fā)管理部和漏斗社區(qū)從多個渠道了解到Struts2漏洞爆發(fā)的消息,雙方協(xié)作收集梳理了漏洞相關(guān)信息,并將關(guān)鍵信息先行同步至公司內(nèi)部工作交流小組,讓公司內(nèi)部員工第一時間了解漏洞威脅。
2、漏洞發(fā)現(xiàn)
發(fā)布安全預警后,技術(shù)研發(fā)管理部立即通知各項目負責人開展漏洞檢查與發(fā)現(xiàn)工作,并根據(jù)漏洞特點要求各項目負責人“當天檢查、當天發(fā)現(xiàn)、當天反饋”,同時還專門成立漏洞應急處理小組,聯(lián)合漏斗社區(qū)針對漏洞發(fā)現(xiàn)過程中的疑點難點進行及時解答與支持。
3、漏洞修復
在漏洞發(fā)現(xiàn)過程中,技術(shù)研發(fā)管理部要求各項目負責人在反饋漏洞信息的同時提出預期漏洞修復時間及修復方案,嚴格把關(guān)預期修復方案,對于漏洞修復周期較長的系統(tǒng)還提供了臨時處理方案建議,并聯(lián)合漏斗社區(qū)在應急處理小組中對漏洞修復工作中存在的疑問進行了有效地指導。
4、漏洞審計
漏洞修復后,技術(shù)研發(fā)管理部根據(jù)修復情況進行了持續(xù)跟蹤,并每日梳理最新情況。此外,漏斗社區(qū)還提供漏洞測試工具,讓各項目負責人能及時驗證修復情況。
經(jīng)過與Struts2漏洞一周的抗爭,新東網(wǎng)技術(shù)研發(fā)管理部全面排查了公司相關(guān)系統(tǒng),及時發(fā)現(xiàn)受漏洞影響的可能存在風險的系統(tǒng),并全部修復完畢,及時制止了因該漏洞對公司造成的損失。憑借此次技術(shù)研發(fā)管理部與漏斗社區(qū)的通力合作,新東網(wǎng)成功避免業(yè)務風險,相信今后公司內(nèi)部將繼續(xù)發(fā)揮團結(jié)協(xié)作的精神,相互支持,共同進步。