В пятницу представители Cisco сообщили клиентам, что, по крайней мере, некоторые из продуктов компании подвержены уязвимости в Apache Struts 2, которая в течение последних дней активно эксплуатируется злоумышленниками в реальных атаках.
Cisco подтвердила, что брешь Cisco Identity Services Engine (ISE), the Prime Service Catalog Virtual Appliance и Unified SIP Proxy Software. Сетевой гигант опубликовал список продуктов, на которые уязвимость не распространяется, но есть еще много продуктов, находящихся в стадии исследования.
Так как в настоящее время эта дыра в безопасности активно используется злоумышленниками для распространения вредоносных программ, Cisco уведомила своих клиентов о наличии соответствующего эксплоита в открытом доступе.
Уязвимость известна под идентификатором CVE-2017-5638, затрагивает Struts версий с 2.3.5 по 2.3.31 и с 2.5 по 2.5.10. 6 марта эта брешь была устранена с выходом версий 2.3.32 и 2.5.10.1. Первые атаки, использующие эту уязвимость, были замечены на следующий день после того, как кто-то опубликовал эксплоит.
Уязвимость существует в парсере Jakarta Multipart и вызвана неправильной обработкой значений заголовка Content-Type. Удаленный злоумышленник может использовать эту брешь для выполнения произвольных команд, отправляя специально созданный HTTP-запрос.
Исследователи обратили внимание на то, что злоумышленники, используя эту брешь, пытались установить различные вредоносные программы вроде DoS/DDoS-ботов.
Эксперты Rapid7 эти атаки, и пришли к выводу, что большая часть вредоносного трафика поступает с двух машин, очевидно находящихся в Китае.
