下一代WAF产品力凸显 长亭雷池免疫Apache Struts2高危漏洞

时间:2017-11-26 15:03

(原标题:下一代WAF产品力凸显 长亭雷池免疫Apache Struts2高危漏洞)

北京时间 2017年7月7日,Apache Struts官方发布最新的安全通告称,在Apache Struts 2.3.x的strus1插件存在远程代码执行的高危漏洞,漏洞编号为CVE-2017-9791(S2-048)。攻击者可以构造恶意的字段值通过Struts2的Struts1的插件,远程执行代码。

下一代WAF产品力凸显 长亭雷池免疫Apache Struts2高危漏洞

图1:Apache Struts官方确认在Struts2中存在远程命令攻击漏洞

由于Apache Struts2是一种全球范围内使用非常广泛的Web应用开发框架,被大量的Web网站所使用,在我国广泛应用于教育、金融、互联网、通信等重要行业,它的任何一个高危漏洞如被利用,都有可能造成重大的互联网安全风险和巨大的经济损失。从分布地域看,北京、山东、江苏、浙江、广东、四川……等地为甚。故国家信息安全漏洞共享平台(CNVD)于8日发布了《关于做好Apache Struts2 高危漏洞管理和应急工作的安全公告》,提出如下两方面建议:1、加强学习,提高认识。2、完善流程,协同自律。

下一代WAF产品力凸显 长亭雷池免疫Apache Struts2高危漏洞

图2:中国互联网上开放的Apache Struts分布

就在全国范围为数众多使用Apache Struts2的企业信息安全工作人员加班加点昼夜不息的通过系统升级、临时修复、技术防护等一系列常规手段,重点盯防有可能基于该漏洞的恶意攻击时,使用长亭科技下一代WAF产品雷池(SafeLine)的客户却惊喜的发现,不需要升级,雷池就可以防御该漏洞攻击。

下一代WAF产品力凸显 长亭雷池免疫Apache Struts2高危漏洞

图3:长亭科技下一代WAF雷池无需升级即可防御S2-048漏洞攻击

之所以能实现这一效果,是因为雷池的漏洞检测引擎采用了业内公认的下一代WAF几个方向中难度最高的人工智能语义分析技术(AI),该技术引入的最直观体现便是雷池的准确率和召回率大幅上升(准确率和召回率是检验一款WAF产品效能的关键指标)。据最新媒体评测结果显示,与国际大牌WAF厂商Imperva和核心产品SecureSphere相比,雷池针对网络攻击的拦截准确率,比SecureSphere高出了10%以上。SecureSphere召回率是75%,而雷池(SafeLine)的召回率为99.41%,从测试机构披露的详情看,Imperva的SecureSphere漏报数量更是长亭雷池(SafeLine)的8倍。

下一代WAF产品力凸显 长亭雷池免疫Apache Struts2高危漏洞

图4:长亭科技下一代WAF产品雷池一目了然的展示界面

显然,这次S2-048漏洞威胁出现后SafeLine不需要升级就可以防御,集中体现了传统WAF和基于人工智能语义分析的无规则WAF本质上的优劣区别。据长亭科技CTO朱文雷介绍,传统WAF核心引擎多采用正则表达式集合,这类基于规则的特征码检校技术只能局限于某个特定的攻击,类似关键字匹配的方式。但基于语义分析的无规则WAF,它检测攻击的原理更加靠近漏洞和攻击的本质,不是简单的字符串比较。比如这次存在于struts 2上的漏洞S2-048,最典型的特征就是该应用会用到一种叫做OGNL的语言,并且以往struts 2的所有漏洞都是利用这种ONGL的语言来攻击的。籍此,长亭科技安全技术团队做了一个ONGL语义分析系统集成到雷池里面,这也意味着以后只要是根据OGNL表达式来攻击的漏洞,雷池都可以直接防御。

对此,业内评论称,WEB安全防护领域内的攻防战,将会随着WEB应用越来越广泛化的应用场景而变得更复杂。近年来接二连三的大规模用户隐私泄漏案件,和出于不正当竞争目的的APT攻击日益泛滥的现状,无疑就是先兆。WAF厂商需要持续通过技术创新,从根本上、源头上杜绝和防范漏洞攻击,而不是再像以前一样一直“亡羊补牢”,羊丢的差不多了补羊圈有何用?从这个角度看,市场需要更多像长亭科技这样的新锐安全企业——“我们希望下一代WAF能无限接近安全极限,带来智能的安全产品,更能带来简单的操作”,最关键的是用户也确实需要这样的WAF产品。

关于长亭科技:

长亭科技是国内一家成立三年的网络安全公司,专注为企业用户提供针对应用层防护的解决方案,其创新性地将语义分析和自动机技术引入传统应用层防护产品中,使得复杂的产品操作简化成一键操控的可视化智能安全产品,更在准确率提升的基础上将速度提升了百倍,曾受邀在美国的Blackhat大会上分享核心技术。目前,公司已为招商银行、招商证券、滴滴、BiliBili、逻辑思维等诸多金融及互联网企业提供简单智能的安全防护,去年获得启明创投、真格、滴滴等公司的数千万A轮融资。


(原标题:下一代WAF产品力凸显 长亭雷池免疫Apache Struts2高危漏洞)

netease