The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в Apache Struts может затрагивать различные продукты Cisco

12.09.2017 10:45

Исследователи безопасности из компании Cisco предупредили о фиксации новой волны атак на системы, использующие уязвимые версии Apache Struts. Для получения контроля над системами в атаках используется обнародованная несколько дней назад критическая уязвимость (CVE-2017-9805), позволяющая выполнить код на сервере. В зафиксированной вредоносной активности преобладают POST-запросы к ресурсу /struts2-rest-showcase/orders/3 с отправкой информации об уязвимой системе на хосты wildkind.ru и st2buzgajl.alifuzz.com.

Кроме того, сообщается о подверженности уязвимостям в Apache Struts многих продуктов Cisco, в которых применяется данный фреймворк. Уязвимость подтверждена в продуктах Cisco Digital Media Manager, Cisco MXE 3500 Series Media Experience Engines, Cisco Unified Contact Center Enterprise, Cisco Unified Intelligent Contact Management Enterprise и Cisco Network Performance Analysis. В процессе анализа находятся продукты, в которых имеются подозрения на проявление уязвимости:

  • Cisco Unified MeetingPlace
  • Cisco WebEx Meetings Server
  • Cisco Prime Service Catalog
  • Cisco Prime Home
  • Cisco Prime Network
  • Cisco Hosted Collaboration Solution for Contact Center
  • Cisco Unified Survivable Remote Site Telephony Manager
  • Cisco Enterprise Content Delivery System (ECDS)
  • Cisco Video Distribution Suite for Internet Streaming (VDS-IS)
  • Cisco Deployment Automation Tool
  • Cisco Smart Net Total Care
  • Cisco Tidal Performance Analyzer
  • Cisco Unified Service Delivery Platform
  • Cisco WebEx Network-Based Recording (NBR) Management

Дополнительно можно отметить раскрытие сведений ещё об одной уязвимости (CVE-2017-12611) в Apache Struts, которая была исправлена в июльских выпусках Struts 2.5.12 и Struts 2.3.34. Проблема проявляется только в приложениях, использующих некорректные конструкции в тегах Freemarker. В случае успешной атаки может быть выполнен код на сервере. Компания Cisco уже подтвердила проявление данной уязвимости в ряде своих продуктов.

Проблемы с десериализацией объектов также выявлены в API движка обработки больших объёмов данных Apache Spark (с версии 1.6.0 по 2.1.1 включительно). Уязвимость носит локальный характер и позволяет пользователю системы запустить код с правами серверного процесса, осуществляющего запуск приложений Spark. Проблема устранена в выпуске Apache Spark 2.2.0.

  1. Главная ссылка к новости (http://blog.talosintelligence....)
  2. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  3. OpenNews: Критическая уязвимость в Apache Struts
  4. OpenNews: Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком
  5. OpenNews: Волна взломов сайтов через неисправленную уязвимость в Apache Struts
  6. OpenNews: Выявлены два ботнета, созданные из серверов на базе Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47181-apache
Ключевые слова: apache, struts
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 10:59, 12/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это же просто восхитительно. С нетерпением жду продолжения (ну не успеют же они всё везде пофиксить до этого самого "продолжения". Надеюсь что нет.)
     
     
  • 2.2, лютый жабист__ (?), 11:25, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >Это же просто восхитительно

    ...заявила Моська :) а слон и ныне там.

     
     
  • 3.4, пох (?), 12:05, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > ...заявила Моська :) а слон и ныне там.

    ага - пилит, откатывает, все как нада. А ты сиди, придумывай, как очередному альтернативно-одаренному, борцуну с корпоративным CA на "личном" (только что со склада) ноуте объяснять, почему нет, доступа к этим штукам не с рабочего места у него не будет никогда.

     
     
  • 4.9, Аноним (-), 16:04, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Заканчивается все это тем что кто-нибудь из борцунов тихой сапой пробрасывает какой-нибудь неочевидный vpn или еще что-нибудь забавное. Иллюзия контроля - штука забавная.
     
     
  • 5.11, пох (?), 17:20, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Заканчивается все это тем что кто-нибудь из борцунов тихой сапой пробрасывает какой
    > -нибудь неочевидный vpn

    если ему такое сходит с рук - непонятно, чего было и защищать.
    Если его увольняют в тот же день, как этот vpn выплывает на свет - значит, все в порядке, можно работать.

    Мне случалось наблюдать и тот, и другой сценарии - причем, иногда в одной и той же лавке в разных подразделениях.

     
     
  • 6.14, xxxx (??), 19:05, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > разных подразделениях

    ты хотел сказать палатах? эк тебя заклинило уже на второй ветке не угомонишься

     
     
  • 7.16, _ (??), 21:17, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А чего не тау хУхУхУхУ?
    Ынженерам часто дают jump-host и ты для себя можешь соорудить тоннель. Но если такой тоннель будет установлен из sales-оффиса - выпнут и борзого сэйла и лопуха поделившегося credentials ...
    Ну вот тоже самое как у тебя в школе - если после звонка опоздаешь на 2 мин - впустят. На больше - к завучу! Теперь понятно? :-))))))
     
     
  • 8.22, Аноним (-), 02:25, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Такие как ты и лох зачастую вообще не замечают туннель под самым носом Может у ... текст свёрнут, показать
     
  • 8.27, L (??), 22:17, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ынженерам часто дают jump-host и ты для себя можешь соорудить тоннель Но ес... текст свёрнут, показать
     
  • 6.21, Аноним (-), 02:21, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Если его увольняют в тот же день, как этот vpn выплывает на
    > свет - значит, все в порядке, можно работать.

    Ну всплывет это лет через пять, когда кадр сам уже увольнятся собирался. Или никогда не всплывет. Так бывает, примеры видел.

    > Мне случалось наблюдать и тот, и другой сценарии - причем, иногда в
    > одной и той же лавке в разных подразделениях.

    А я видел и иные сценарии. Ты почему-то исходишь из допущения что админы в какой там лавке самые умные на всей планете. Откуда это следует - не понятно.

     
     
  • 7.25, нах (?), 09:39, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну всплывет это лет через пять, когда кадр сам уже увольнятся собирался.
    > Или никогда не всплывет. Так бывает, примеры видел.

    я ж говорю - бывает, когда на самом деле защищать никто и не собирался ничего.
    Это разные вещи - одно дело, когда я знаю, что вот эта архинужная в хозяйстве хрень - гнилая и к ней не подходить без бот и перчаток, другое - когда хрень мне без надобности, я просто не хочу на себя брать ответственность за продолбанные кем-то пароли и забытый на пляже ноут. Во втором случае, гнусно хихикая, я с удовольствием буду понаблюдать, как каждый индивидуй понастроит себе джампхост, некоторые - даже по пять. Типа, контроль минимальной квалификации пройден, пусть пользуется. Поломают - я не при делах, отдел ИБ прямо по коридору и налево.

    >> Мне случалось наблюдать и тот, и другой сценарии - причем, иногда в
    >> одной и той же лавке в разных подразделениях.
    > А я видел и иные сценарии. Ты почему-то исходишь из допущения что
    > админы в какой там лавке самые умные на всей планете. Откуда

    э... ты список софта перечитай. Какие, нафиг, админы ;-)
    Это инженеры ставят и обслуживают, чаще интеграторские чем свои.

    А если админы в лавке дрянь - то тем более не надо рыть нор в обход - они ж на тебя с радостью и свалят при случае все свои продолбы и неумешество. Наоборот, надо старательнейшим образом соблюдать все правила и предписания. Что там у нас - вебех поломали? Отлично, просплю совещание (все равно нахрен не сдалось).

     
     
  • 8.26, Аноним (-), 21:01, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Нанять всю лабораторию Касперского на постоянной основе для действительно хороше... текст свёрнут, показать
     
  • 3.7, Аноним (-), 16:02, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А в роли слона кто? Ботнетчики которые оперативно сняли снивки по всей планете? Сам понимаешь, бабло побеждает зло. Поэтому хакабельные хосты вывешенные в сеть без дела долго не стоят.
     
  • 3.13, Аноним (-), 18:13, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >а слон и ныне там

    В посудной лавке.

     
  • 3.15, _ (??), 21:11, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >а слон и ныне там.

    Не слон, а жаба.
    И не "там", а в >|<  :-)  
    Скоро мем поменяется и корпоранты запретят еЯ в продакшене :)  

    PS: Не падай замертво, это у меня шутки такие :) Ага - знаю :)

     
     
  • 4.19, Аноним (-), 22:21, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>а слон и ныне там.
    > Не слон, а жаба.
    > И не "там", а в >|<  :-)

    Cкорее уж в (_O_)

     
  • 2.3, пох (?), 12:02, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это же просто восхитительно. С нетерпением жду продолжения

    какого тебе еще "продолжения"? Эти штуки своих собственных дырок содержат мильен с тыщами, ну будет еще одна, не совсем своя, никто и не заметит.

    Если у тебя prime доступен (хотя бы даже с авторизацией) снаружи - тебе уже все равно, struts там или еще что.

    да и webex в общем-то тоже. Хотя, кому нахрен надо его ломать...

     
     
  • 3.10, Аноним (-), 16:05, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > да и webex в общем-то тоже. Хотя, кому нахрен надо его ломать...

    Несколько месяцев назад была как раз уязвимость в webex. И ты не поверишь, ломали его все кому не лень. Если взлом дает доступ к ресурсам или данным которые не общедоступны - его сделают, даже не сомневайся. Потому что выгодный товар - пользуется спросом.

     
     
  • 4.12, пох (?), 17:23, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Несколько месяцев назад была как раз уязвимость в webex. И ты не
    > поверишь, ломали его все кому не лень. Если взлом дает доступ
    > к ресурсам или данным которые не общедоступны - его сделают, даже

    да вот и вопрос - кому те данные всpались, ломать еще его?

    > не сомневайся. Потому что выгодный товар - пользуется спросом.

    чота больше на последствия деятельности скрипткидди было похоже, чем на "выгодный товар".

    Какой-нибудь корпоративный линк поломать - и то больше толку. (причем что-то там в нем без конца потихому правят, но глобального шухера как-то не слышно)

    Кстати, cucm в списке, кажись, нет? С чего бы это...

     
     
  • 5.23, Аноним (-), 03:27, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > да вот и вопрос - кому те данные всpались, ломать еще его?

    Через webex бывает внутрикорпоративный и межкорпоративный треп. Конкурентам может быть интересно. А еще это дает доступ в чей-то интранет, в котором может быть что-нибудь интересное. Блэкхэты любят интранеты. На хабре был забавный топик про то как попасть на дачу президента в 5 (или 6?) утра. Пример российского интранета и чего там бывает. Забавно.

    > чота больше на последствия деятельности скрипткидди было похоже, чем на "выгодный товар".

    ИМХО такие как ты не заметят если к ним влезут не скрипт киди. Скрипткиди наглеют, шумят, следят. Это и делает их заметными.

     
     
  • 6.24, нах (?), 09:23, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    вот внутрикорпоративного - ни разу не видел Это ж банально неудобно а мелким -... большой текст свёрнут, показать
     
     
  • 7.28, Аноним (-), 01:51, 14/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Между разными филиалами иногда бывает Но чаще межкорпоративные дела Интересног... большой текст свёрнут, показать
     
  • 2.8, ryoken (ok), 16:03, 12/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Это же просто восхитительно.

    Кажется, не зря я сбиваюсь при чтении про эти уязвимости на "Спрутс". (Помнит кто такого персонажа? :) )

     
     
  • 3.20, Аноним (-), 01:04, 13/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Лучший учебник политэкономии для самых маленьких.
     

  • 1.5, Борщдрайвен бигдата (?), 12:24, 12/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Уязвимость носит локальный характер и позволяет пользователю системы запустить код с правами серверного процесса, осуществляющего запуск приложений Spark

    Ну то такое, довольно странная фигня. Нехорошо, да — но, с другой стороны, spark-submit тот же arbitrary code позволяет запускать нормальным способом.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру