關于Apache Struts2 框架：

Apache Struts2 框架是在Struts 和WebWork的技術基礎上進行了合并后的全新框架。其全新的Struts 2的體系結構與Struts 1的體系結構的差別巨大。Struts 2以WebWork為核心，采用攔截器的機制來處理用戶的請求，這樣的設計也使得業務邏輯控制器能夠與Servlet API完全脫離開，所以Struts 2可以理解為WebWork的更新產品。Struts框架廣泛應用于政府、公安、交通、金融行業和運營商的網站建設，作為網站開發的底層模板使用，目前大量開發者利用J2ee 開發 Web 應用的時候都會利用這個框架。

Apache Struts2 框架最早于2010年7月14日被發現存在一個嚴重命令執行漏洞，但隨之出現了防范技術，最近隨著近期Struts2帶回顯功能的POC被公布，出現大量的利用工具，并導致大量使用此框架的網站淪陷，并呈擴散趨勢。據第三方安全問題反饋平臺"烏云"上白帽子的提交來看，國內已有上百個大型網站（主要包括政府、金融、運營商、企業等）存在被該漏洞利用的風險，被駭客惡意攻擊的網站不計其數。目前安恒信息的安全產品均能檢測和防護該漏洞，徹底阻斷駭客的惡意攻擊。

圖：Struts2遠程執行漏洞在第三方安全問題反饋平臺WOOYUN的不完全統計情況

如果說"震網"病毒和"火焰"病毒是對信息系統造成了很大的沖擊，那么現在的"Struts2漏洞"就是針對互聯網社會公共安全的一次挑戰。經安恒信息安全人員分析，由于Struts2漏洞的利用工具已經大面積散播，導致惡意攻擊者的攻擊成本和時間大大降低，攻擊者只需要在利用工具中填入存在漏洞的網址或IP，即可自動執行并獲取網站權限，未來很可能會成為惡意攻擊和信息竊取的主要攻擊目標。特別是政府、公安、交通、金融和運營商等尤其需要重視該漏洞，這些單位和機構需要非常重視信息安全保密工作，敏感信息的泄漏有可能對國家造成沉重的打擊，甚至會違反相關的法律規定。在最近幾年APT攻擊橫行的時期，駭客早也不再以掛黑頁炫耀為目的，攻擊者可能通過該漏洞作為突破口滲透進入其內部網絡長期蟄伏，不斷收集各種信息，直到收集到重要情報。請記住，在如今的互聯網時代，只要是能換成錢的東西，駭客們都愿意嘗試，其中更不乏諸多政治駭客（如國際黑客組織Anonymous）。

圖：Struts2漏洞利用工具

安恒信息的安全專家提醒目前正在使用Struts框架的網站的管理員，目前Aapche官方已經在Struts 2.2.0版本中修復了這個安全問題。由于struts 2.2.0仍然存在其他安全問題，建議用戶請盡快升級到當前最新版本2.3.4。另外，在修補漏洞的同時千萬不要忘記查看服務器或網站是否已經被入侵，是否存在后門文件等，盡量將損失和風險控制在可控范圍內。

安恒信息目前也就針對這種情況升級了明御WEB應用防火墻（WAF）的策略提供防護，同時已經安排了24小時電話緊急值班（400-605-9110），隨時協助有需要的客戶解決該漏洞。