全球漏洞风暴席卷了互联网。它的名字叫Struts2。有安全人士打了个例子:Struts2是网站开发的底层模板。假如把网站理解为高楼,Struts2它是建筑的基础,门户、视频网站、银行、政府、学校、电子商务等网站都离不开它。“有了这个漏洞,任何人都可以偷偷地‘挖隧道’,潜入楼内偷东西。”上述人士表示。
目前国外很多网站都被黑了,但是淘宝、支付宝、JD.COM等等。参与泄密事件的,已被否认。不排除黑客被排除在外。“拖”建议网友经常更改密码。
很多网站嗅到了1 “超级漏洞”的味道
Struts2到底是什么?为什么这个鲜为人知的漏洞会让国内外很多网站感到恐惧?
记者发现,记者发现,Struts2是A-pache作为网站开发的底层模板,生产的开源框架产品。然而,在远程代码执行漏洞爆发后,即使是不了解黑客技术的新手也可以突破许多知名网站。
“你可以理解,大楼的基础上有一个洞。每个人都可以挖一条隧道,用它很容易地进入大楼偷东西,比如在网站上植入后门,关闭/控制服务器,窃取数据库等等。”30.30网站安全总监吴钊表示,与浏览器漏洞导致的个人电脑不同,Struts2漏洞的危害直接进入网站,影响更大。Struts2利用率很高,世界上大量的网站都在使用这个框架产品,而且这次暴露的漏洞很严重,所以黑客可以获得最终的权限。
“漏洞补丁需要网站手动补丁,而不是推送。许多网站技术实力薄弱,是的Struts2一无所知,更不用说漏洞和补丁了。这样,漏洞细节公布后,大量网站仍然存在漏洞,黑客更有可能利用漏洞进行攻击。”吴钊解释道。
2 国内大量知名网站“躺枪”
记者在乌云漏洞平台最近公布的名单中看到,包括网易、搜狐、淘宝、库巴、百度、联通分站、yeepay、土豆网、JD.COM商城、1号店、百合网等在内的大量网站,已被“躺枪”,由于上述高述高风险漏洞而泄露,但在接受记者采访时,大多数人回应说他们已经被泄露了“修复”。
淘宝官方微博宣布Struts2漏洞发布当天,第一次修复,确认漏洞未成功使用。到目前为止,用户的数据安全账户数据没有异常。支付宝立即转发了淘宝的微博,称“支付宝没有受到影响。”
JD.COM早在上个月17日,商记者,早在上个月17日,Apache官方公布struts2框架中的一个编号是“S2-016”当出现严重漏洞时,已修复户数据不受漏洞影响。
值得注意的是,受苦的网站还包括一些国内网上银行的分支机构。业内人士推测,即使黑客无法突破其总部数据库,他们也可能通过挂断电话窃取用户的银行账户。
3 建议网友“技术上”改密码
其实在国外,Struts2漏洞的受害者已经出现了。Ubuntu开发者社区被黑客攻击,182万用户数据被盗。随后,苹果开发者网站停机五天,苹果总部承认被黑客攻击。虽然没有点名,但很多it该公司已自动计算该账户Struts2漏洞里了。
吴钊说,目前,互联网上出现了一些自动和愚蠢的攻击软件。只要存在软件填写Struts2网站地址漏洞,可读取网站数据或关闭服务器。“不幸的是,这个漏洞存在于大量的国内网站中,由于各种原因尚未修复。”据他分析,由于使用漏洞的成本很低,黑客必然会采取行动,但黑客市场上没有新的被盗数据库。
对于普通网民来说,最好经常更换常用网络账户的密码,重要账户的密码“技术上”单独设置。