美司法部起訴中國「網路攻擊」，故事開頭要從Struts漏洞說起

• 2020 年 2 月 26 日
• 筆記

一、基本情況

當地時間2月10日，美國司法部宣布對中國軍方的4名軍人提起訴訟，理由是他們相互串謀侵入Equifax公司的電腦網路，並對這些電腦進行未經授權的訪問，並竊取了大約1.45億美國受害者的敏感個人身份資訊。

Equifax公司是美國三大信用機構之一且資格最老，它囊括了全球超過8個億的消費者和近9000萬家企業的私密資訊。美國信用分數在經濟社會運行中應用廣泛。因此，該事件對於Equifax公司而言影響巨大，Equifax的股價也下跌了超過30%，市值縮水約53億。

美國司法部公布照片

Equifax公司被爆出其遭受網路攻擊後，為安撫賠償，Equifax公司出資7億美金來平復受影響的群眾，平均每個人可拿到$125至$250左右，還開通專用查詢網站便於用戶查詢其個人資訊是否被盜（https://eligibility.equifaxbreachsettlement.com/en/eligibility）。隨後，Equifax公司請美著名網路安全公司FireEye旗下的曼迪昂特公司介入事件調查。曼迪昂特公司對於很多小夥伴們其實並不陌生，這個公司有話題啊。

二、起訴書分析

Equifax已經確認，黑客在2017年5月中旬和7月下旬入侵了他們的資料庫系統，泄露資訊包括姓名，社保號碼，出生日期，地址等資訊。分析Equifax數據泄露事件原因，其中重要一條就是Equifax未能修補已知的嚴重漏洞，使其系統面臨145天的安全風險。

一直以來，「入侵者」究竟使用什麼漏洞入侵了Equifax公司的網站，官方一直沒有公布。不過美國司法部在其起訴書上倒是把入侵細節公布了出來，所以，一起來瞧一瞧這個故事的開頭吧…

美司法部起訴書

上面劃紅線的地方是關鍵點，翻譯過來的意思就是「入侵者使用了Apache Struts漏洞向Equifax公司的伺服器上傳了webshell」。對於這個表述，相信小夥伴們可以猜到，「入侵者」使用了Apache Struts遠程程式碼執行漏洞。

三、Apache Struts漏洞分析

（一）漏洞確定

Struts2 是第二代基於MVC模型的java企業級web應用框架，一般使用Struts2框架的公司都是較為知名的大公司。Struts2持續曝出過多個RCE漏洞，這點也備受詬病。

在2017年，Apache Struts 2被曝存在遠程命令執行漏洞，漏洞編號S2-045，CVE編號CVE-2017-5638，影響範圍為Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.10。該漏洞可使惡意訪問者可通過遠程命令注入執行，令系統執行惡意命令，導致被黑客入侵，從而威脅伺服器安全，影響極大。結合Equifax公司遭受網路攻擊的時間看（2017年5月），「入侵者」使用了S2-045漏洞成功在Equifax公司伺服器中上傳了Webshell，此後開啟了更加廣闊的內網滲透之路。

（二）漏洞利用

2017年爆出的Struts 2早已被複現了，網上也存在不少的分析資料，小夥伴們可以參考學習。這裡主要推薦一款工具，那就是大名鼎鼎的K8 Struts 2利用工具。這款工具把2011年至2017年Struts 2漏洞全部匯聚起來，十分便於我們利用。

四、主要啟示

（一）漏洞修復速度對於網路安全至關重要

天下武功，唯快不破。Equifax公司在本身就配有較強的安全力量，依然被S2-045漏洞打爆，說明Equifax公司沒有在S2-045漏洞被曝出後，第一時間修複本公司的漏洞，才讓「入侵者」有機可乘。漏洞響應速度應成為衡量公司網路安全的重要指標之一，甚至需要組建專業隊伍專門負責。這應了祖宗一句老話：「落後就要挨打」。

（二）反制能力對於威懾網路攻擊至關重要

在建設網路安全體系時，不僅要注重實時防禦，讓黑客無法入侵，還要注重對日誌、痕迹、命令執行等記錄工作。退一萬步說，即使遭受入侵了，仍還可以把入侵者分析出來。就像美國這種超強的反制能力，也算是一種對攻擊者的警告和威懾吧！

*本文原創作者：DD想上學了，本文屬於FreeBuf原創獎勵計劃，未經許可禁止轉載