一场席卷全球的漏洞风波席卷了互联网,它的大名叫做Struts2。一些安全人士做了个比喻:Struts2是网站开发的底层模板,若把网站理解为高楼,那Struts2就是大楼地基,门户、视频网站、银行、政府、学校、电商等网站都离不开它。 “而利用这个漏洞,谁都能偷偷‘挖地道’潜入楼中偷东西。 ”上述人士称。
目前,国外多个网站已经被黑,而淘宝、支付宝、京东等被传卷入泄密事件的十几家知名网站则纷纷出面否认。在不排除黑客已“拖库”的可能下,建议网民还是勤换密码。
众多网站闻“超级漏洞”色变
Struts2到底是什么,为何这个鲜有听闻的漏洞却让国内外众多网站都闻之色变?
记者查阅资料发现,Struts2是A-pache出品的一个开源的框架产品,作为网站开发的底层模板使用。而当前者爆发出一个远程代码执行漏洞后,即便是不懂黑客技术的菜鸟,也可以轻易攻破众多知名网站。
“你可以理解为楼房的地基有个洞,所有人都能挖地道,利用这个洞轻易进入大楼内偷东西,比如在网站植入后门、关闭/控制服务器、盗取数据库等等。 ”360网站安全总监赵武说,和浏览器漏洞祸及个人电脑不同,Struts2漏洞的危害是直奔网站去的,影响力更大。首先Struts2使用率极高,全球大量的网站都使用这一框架产品,而此次曝出的漏洞又很严重,黑客可以借此拿到最后权限。
“漏洞补丁需要网站手动去打补丁而不会推送,很多网站技术实力较弱,根本不知道Struts2这个东西,更不知道这个漏洞和打补丁了。这就导致了在漏洞细节公布后,大量网站依然存在这个漏洞,黑客更容易利用漏洞进行攻击。 ”赵武解释称。
国内大批知名网站“躺枪”
记者在乌云漏洞平台日前公布的一份名单中看到,包括网易、搜狐、淘宝、库巴网、百度、中国联通分站、易宝支付、土豆网、京东商城、1号店、百合网在内的大批网站已经“躺枪”,因上述高危漏洞而存在泄密可能,不过他们接受记者采访时大多回应称 “已经修复”。
淘宝官方微博发布公告称,在Struts2漏洞被公布的当天,已于第一时间对漏洞进行了修复,确认此漏洞没有被成功利用。截至目前,用户的数据安全和账户数据未见任何异常。旋即,支付宝也转发了淘宝网的微博,称“支付宝也没有受影响。 ”
而京东商城公关部负责人对记者说,他们早在上月17日Apache官方公布struts2框架的一个编号为 “S2-016”严重漏洞时,就已进行了修补和处理,业务和用户数据都没有受到该漏洞的任何影响。
值得注意的是,此次遭殃的网站还包括国内一些网银的分站,业内人士推测,黑客就算无法攻破其总部数据库,也可能通过挂马的方式来窃取用户的银行账户。
建议网民“技术性”改密码
事实上,在国外,Struts2漏洞的牺牲品早已出现。首先是Ubuntu开发者社区被黑,182万用户数据被盗。随后苹果开发者网站宕机瘫痪长达5天,苹果总部承认遭遇黑客入侵,虽然没有点名,但很多IT业者已自动把这笔账算到了Struts2漏洞头上。
赵武说,目前网上已冒出一些自动化、傻瓜化的攻击软件,只要在软件中填写存在Struts2漏洞的网站地址,就能读取网站数据或让服务器关机等操作。 “而不幸的是,国内大批网站均存在该漏洞,并因为各种原因还没有修复。 ”他分析称,由于漏洞利用成本非常低,黑客必然会有所行动,但目前黑客市场上还没有新被盗的数据库在叫卖。
对普通网民来说,最好经常更换一下常用网络账号的密码,重要账号密码应“技术性”地单独设置。
赵武推荐了一个办法:如果担心密码设置太多记不清,可以尝试用“常用密码+特殊符号+网站代号”的方法,例如把微博密码设置为“常用密码@weibo”,QQ密码则可以设置为“常用密码&QQ”。这样能避免一个账号密码泄露导致所有账号沦陷的风险。
