北京時間 2017年7月7日,Apache Struts官方發(fā)布最新的安全通告稱,在Apache Struts 2.3.x的strus1插件存在遠程代碼執(zhí)行的高危漏洞�����,漏洞編號為CVE-2017-9791(S2-048)�����。攻擊者可以構(gòu)造惡意的字段值通過Struts2的Struts1的插件�����,遠程執(zhí)行代碼����。
圖1:Apache Struts官方確認在Struts2中存在遠程命令攻擊漏洞
由于Apache Struts2是一種全球范圍內(nèi)使用非常廣泛的Web應(yīng)用開發(fā)框架�,被大量的Web網(wǎng)站所使用��,在我國廣泛應(yīng)用于教育����、金融、互聯(lián)網(wǎng)�����、通信等重要行業(yè)��,它的任何一個高危漏洞如被利用�,都有可能造成重大的互聯(lián)網(wǎng)安全風(fēng)險和巨大的經(jīng)濟損失�。從分布地域看,北京、山東、江蘇、浙江����、廣東����、四川……等地為甚。故國家信息安全漏洞共享平臺(CNVD)于8日發(fā)布了《關(guān)于做好Apache Struts2 高危漏洞管理和應(yīng)急工作的安全公告》�����,提出如下兩方面建議:1����、加強學(xué)習(xí),提高認識����。2����、完善流程�����,協(xié)同自律�����。
圖2:中國互聯(lián)網(wǎng)上開放的Apache Struts分布
就在全國范圍為數(shù)眾多使用Apache Struts2的企業(yè)信息安全工作人員加班加點晝夜不息的通過系統(tǒng)升級����、臨時修復(fù)、技術(shù)防護等一系列常規(guī)手段�����,重點盯防有可能基于該漏洞的惡意攻擊時,使用長亭科技下一代WAF產(chǎn)品雷池(SafeLine)的客戶卻驚喜的發(fā)現(xiàn)�����,不需要升級����,雷池就可以防御該漏洞攻擊�����。
圖3:長亭科技下一代WAF雷池?zé)o需升級即可防御S2-048漏洞攻擊
之所以能實現(xiàn)這一效果,是因為雷池的漏洞檢測引擎采用了業(yè)內(nèi)公認的下一代WAF幾個方向中難度最高的人工智能語義分析技術(shù)(AI)�,該技術(shù)引入的最直觀體現(xiàn)便是雷池的準(zhǔn)確率和召回率大幅上升(準(zhǔn)確率和召回率是檢驗一款WAF產(chǎn)品效能的關(guān)鍵指標(biāo))。據(jù)最新媒體評測結(jié)果顯示,與國際大牌WAF廠商Imperva和核心產(chǎn)品SecureSphere相比,雷池針對網(wǎng)絡(luò)攻擊的攔截準(zhǔn)確率,比SecureSphere高出了10%以上。SecureSphere召回率是75%�,而雷池(SafeLine)的召回率為99.41%���,從測試機構(gòu)披露的詳情看��,Imperva的SecureSphere漏報數(shù)量更是長亭雷池(SafeLine)的8倍��。
圖4:長亭科技下一代WAF產(chǎn)品雷池一目了然的展示界面
顯然����,這次S2-048漏洞威脅出現(xiàn)后SafeLine不需要升級就可以防御���,集中體現(xiàn)了傳統(tǒng)WAF和基于人工智能語義分析的無規(guī)則WAF本質(zhì)上的優(yōu)劣區(qū)別��。據(jù)長亭科技CTO朱文雷介紹�,傳統(tǒng)WAF核心引擎多采用正則表達式集合,這類基于規(guī)則的特征碼檢校技術(shù)只能局限于某個特定的攻擊�,類似關(guān)鍵字匹配的方式�����。但基于語義分析的無規(guī)則WAF,它檢測攻擊的原理更加靠近漏洞和攻擊的本質(zhì)���,不是簡單的字符串比較。比如這次存在于struts 2上的漏洞S2-048���,最典型的特征就是該應(yīng)用會用到一種叫做OGNL的語言,并且以往struts 2的所有漏洞都是利用這種ONGL的語言來攻擊的��。籍此�,長亭科技安全技術(shù)團隊做了一個ONGL語義分析系統(tǒng)集成到雷池里面,這也意味著以后只要是根據(jù)OGNL表達式來攻擊的漏洞�,雷池都可以直接防御���。
對此�����,業(yè)內(nèi)評論稱�,WEB安全防護領(lǐng)域內(nèi)的攻防戰(zhàn)�����,將會隨著WEB應(yīng)用越來越廣泛化的應(yīng)用場景而變得更復(fù)雜。近年來接二連三的大規(guī)模用戶隱私泄漏案件���,和出于不正當(dāng)競爭目的的APT攻擊日益泛濫的現(xiàn)狀�,無疑就是先兆��。WAF廠商需要持續(xù)通過技術(shù)創(chuàng)新����,從根本上、源頭上杜絕和防范漏洞攻擊����,而不是再像以前一樣一直“亡羊補牢”,羊丟的差不多了補羊圈有何用?從這個角度看�,市場需要更多像長亭科技這樣的新銳安全企業(yè)——“我們希望下一代WAF能無限接近安全極限,帶來智能的安全產(chǎn)品����,更能帶來簡單的操作”,最關(guān)鍵的是用戶也確實需要這樣的WAF產(chǎn)品�����。
關(guān)于長亭科技:
長亭科技是國內(nèi)一家成立三年的網(wǎng)絡(luò)安全公司,專注為企業(yè)用戶提供針對應(yīng)用層防護的解決方案���,其創(chuàng)新性地將語義分析和自動機技術(shù)引入傳統(tǒng)應(yīng)用層防護產(chǎn)品中��,使得復(fù)雜的產(chǎn)品操作簡化成一鍵操控的可視化智能安全產(chǎn)品�,更在準(zhǔn)確率提升的基礎(chǔ)上將速度提升了百倍����,曾受邀在美國的Blackhat大會上分享核心技術(shù)。目前��,公司已為招商銀行�、招商證券����、滴滴、BiliBili�����、邏輯思維等諸多金融及互聯(lián)網(wǎng)企業(yè)提供簡單智能的安全防護����,去年獲得啟明創(chuàng)投、真格�、滴滴等公司的數(shù)千萬A輪融資��。
京公網(wǎng)安備 11010502041587號