【推广】Struts2火线补漏，新东网成功规避安全风险

发布时间： 2016-05-05 10:46:18  

分享到：

上周，Apache Struts2官方发布了Apache Struts2 远程任意代码执行漏洞。事发当晚，大批金融、互联网等企业及政府单位受该漏洞影响，惨遭入侵。事发突然，新东网旗下信息安全社区——漏斗社区快速响应，启动应急处置，最大程度降低了此次信息安全危机对新东网业务造成的严重风险和不良影响。

四年一遇大规模安全漏洞威胁

4月26日，Apache Struts2官方公告称，Apache Struts2 服务发现了新的远程任意代码执行漏洞，官方编号 S2-032，CVE编号 CVE-2016-3081，这是自2012年Struts2命令执行漏洞大规模爆发后该服务时隔四年再次爆发的大规模漏洞，也是今年为止爆出的最严重的安全漏洞。黑客利用该漏洞，可对企业服务器实施远程操作，从而导致数据泄露、远程主机被控、内网渗透等重大安全威胁。

Apache Struts 2.0.0版本至Struts2.5.BETA3版本中存在远程任意代码执行漏洞，当程序启用动态方法调用（Dynamic Method Invocation）时，远程攻击者可利用该漏洞在服务器端执行任意代码，并导致除已修复漏洞的版本2.3.20.2、2.3.24.2、2.3.28.1以外的Struts2.0.0 - Struts2.5.BETA3所有版本均会受到影响。

新东网快速启动应急处理机制

事发当晚，新东网技术研发管理部立即启动应急处理机制，严格遵循预警——发现——修复——审计工作流开展安全漏洞应急处置工作，并由新东网漏斗社区提供全程技术支撑。

1、漏洞预警

新东网技术研发管理部每天安排专业技术人员收集网上公布的重大信息安全风险和事件，并实时跟踪分析。4月26日晚，技术研发管理部和漏斗社区从多个渠道了解到Struts2漏洞爆发的消息，双方协作收集梳理了漏洞相关信息，并将关键信息先行同步至公司内部工作交流小组，让公司内部员工第一时间了解漏洞威胁。

2、漏洞发现

发布安全预警后，技术研发管理部立即通知各项目负责人开展漏洞检查与发现工作，并根据漏洞特点要求各项目负责人“当天检查、当天发现、当天反馈”，同时还专门成立漏洞应急处理小组，联合漏斗社区针对漏洞发现过程中的疑点难点进行及时解答与支持。

3、漏洞修复

在漏洞发现过程中，技术研发管理部要求各项目负责人在反馈漏洞信息的同时提出预期漏洞修复时间及修复方案，严格把关预期修复方案，对于漏洞修复周期较长的系统还提供了临时处理方案建议，并联合漏斗社区在应急处理小组中对漏洞修复工作中存在的疑问进行了有效地指导。

4、漏洞审计

漏洞修复后，技术研发管理部根据修复情况进行了持续跟踪，并每日梳理最新情况。此外，漏斗社区还提供漏洞测试工具，让各项目负责人能及时验证修复情况。

经过与Struts2漏洞一周的抗争，新东网技术研发管理部全面排查了公司相关系统，及时发现受漏洞影响的可能存在风险的系统，并全部修复完毕，及时制止了因该漏洞对公司造成的损失。凭借此次技术研发管理部与漏斗社区的通力合作，新东网成功避免业务风险，相信今后公司内部将继续发挥团结协作的精神，相互支持，共同进步。