Исследователи безопасности из компании Cisco предупредили (http://blog.talosintelligence.com/2017/09/apache-struts-bein...) о фиксации новой волны атак на системы, использующие уязвимые версии Apache Struts. Для получения контроля над системами в атаках используется обнародованная (https://www.opennet.ru/opennews/art.shtml?num=47139) несколько дней назад критическая уязвимость (CVE-2017-9805), позволяющая выполнить код на сервере. В зафиксированной вредоносной активности преобладают POST-запросы к ресурсу /struts2-rest-showcase/orders/3 с отправкой информации об уязвимой системе на хосты wildkind.ru и st2buzgajl.alifuzz.com.
Кроме того, сообщается (https://tools.cisco.com/security/center/content/CiscoSecurit...) о подверженности уязвимостям в Apache Struts многих продуктов Cisco, в которых применяется данный фреймворк. Уязвимость подтверждена в продуктах Cisco Digital Media Manager,
Cisco MXE 3500 Series Media Experience Engines, Cisco Unified Contact Center Enterprise,
Cisco Unified Intelligent Contact Management Enterprise
и Cisco Network Performance Analysis. В процессе анализа находятся продукты, в которых имеются подозрения на проявление уязвимости:
- Cisco Unified MeetingPlace
- Cisco WebEx Meetings Server
- Cisco Prime Service Catalog
- Cisco Prime Home
- Cisco Prime Network
- Cisco Hosted Collaboration Solution for Contact Center
- Cisco Unified Survivable Remote Site Telephony Manager
- Cisco Enterprise Content Delivery System (ECDS)
- Cisco Video Distribution Suite for Internet Streaming (VDS-IS)
- Cisco Deployment Automation Tool
- Cisco Smart Net Total Care
- Cisco Tidal Performance Analyzer
- Cisco Unified Service Delivery Platform
- Cisco WebEx Network-Based Recording (NBR) Management
Дополнительно можно отметить раскрытие (https://struts.apache.org/docs/s2-053.html) сведений ещё об одной уязвимости (CVE-2017-12611) в Apache Struts, которая была исправлена в июльских выпусках Struts 2.5.12 и Struts 2.3.34. Проблема проявляется только в приложениях, использующих некорректные конструкции в тегах Freemarker. В случае успешной атаки может быть выполнен код на сервере. Компания Cisco уже подтвердила (https://tools.cisco.com/security/center/content/CiscoSecurit...) проявление данной уязвимости в ряде своих продуктов.
Проблемы с десериализацией объектов также выявлены (http://openwall.com/lists/oss-security/2017/09/08/4) в API движка обработки больших объёмов данных Apache Spark (http://spark.apache.org/) (с версии 1.6.0 по 2.1.1 включительно). Уязвимость носит локальный характер и позволяет пользователю системы запустить код с правами серверного процесса, осуществляющего запуск приложений Spark. Проблема устранена в выпуске Apache Spark 2.2.0.
URL: http://blog.talosintelligence.com/2017/09/apache-struts-bein...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47181