The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в Apache Struts может затрагивать различные проду..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от opennews (ok) on 12-Сен-17, 10:59 
Исследователи безопасности из компании Cisco предупредили (http://blog.talosintelligence.com/2017/09/apache-struts-bein...) о фиксации новой волны атак на системы, использующие уязвимые версии Apache Struts. Для получения контроля над системами в атаках используется обнародованная (https://www.opennet.me/opennews/art.shtml?num=47139) несколько дней назад критическая уязвимость (CVE-2017-9805), позволяющая выполнить код на сервере. В зафиксированной вредоносной активности  преобладают POST-запросы к ресурсу /struts2-rest-showcase/orders/3 с отправкой информации об уязвимой системе на хосты wildkind.ru и st2buzgajl.alifuzz.com.


Кроме того, сообщается (https://tools.cisco.com/security/center/content/CiscoSecurit...) о подверженности уязвимостям в Apache Struts  многих продуктов Cisco, в которых применяется данный фреймворк. Уязвимость подтверждена в   продуктах Cisco Digital Media Manager,
Cisco MXE 3500 Series Media Experience Engines,  Cisco Unified Contact Center Enterprise,
Cisco Unified Intelligent Contact Management Enterprise
и Cisco Network Performance Analysis. В процессе анализа находятся продукты, в которых имеются подозрения на проявление уязвимости:


-     Cisco Unified MeetingPlace
-   Cisco WebEx Meetings Server
-  Cisco Prime Service Catalog
-     Cisco Prime Home
-     Cisco Prime Network
-     Cisco Hosted Collaboration Solution for Contact Center
-     Cisco Unified Survivable Remote Site Telephony Manager
-     Cisco Enterprise Content Delivery System (ECDS)
-     Cisco Video Distribution Suite for Internet Streaming (VDS-IS)
-     Cisco Deployment Automation Tool
-     Cisco Smart Net Total Care
-     Cisco Tidal Performance Analyzer
-     Cisco Unified Service Delivery Platform
-     Cisco WebEx Network-Based Recording (NBR) Management


Дополнительно можно отметить раскрытие (https://struts.apache.org/docs/s2-053.html) сведений ещё об одной уязвимости (CVE-2017-12611) в Apache Struts, которая была исправлена в июльских выпусках Struts 2.5.12 и Struts 2.3.34. Проблема проявляется только в приложениях, использующих некорректные конструкции в тегах Freemarker. В случае успешной атаки может быть выполнен код на сервере.  Компания Cisco уже подтвердила (https://tools.cisco.com/security/center/content/CiscoSecurit...) проявление данной уязвимости в ряде своих продуктов.  


Проблемы с десериализацией объектов также выявлены (http://openwall.com/lists/oss-security/2017/09/08/4) в API  движка обработки больших объёмов данных Apache Spark (http://spark.apache.org/) (с версии 1.6.0 по 2.1.1 включительно). Уязвимость носит локальный характер и позволяет пользователю системы запустить код с правами серверного процесса, осуществляющего запуск приложений Spark. Проблема устранена в выпуске Apache Spark 2.2.0.


URL: http://blog.talosintelligence.com/2017/09/apache-struts-bein...
Новость: http://www.opennet.me/opennews/art.shtml?num=47181

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от A.Stahl (ok) on 12-Сен-17, 10:59 
Это же просто восхитительно. С нетерпением жду продолжения (ну не успеют же они всё везде пофиксить до этого самого "продолжения". Надеюсь что нет.)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость в Apache Struts может затрагивать различные проду..."  –5 +/
Сообщение от лютый жабист__ on 12-Сен-17, 11:25 
>Это же просто восхитительно

...заявила Моська :) а слон и ныне там.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от пох on 12-Сен-17, 12:05 
> ...заявила Моська :) а слон и ныне там.

ага - пилит, откатывает, все как нада. А ты сиди, придумывай, как очередному альтернативно-одаренному, борцуну с корпоративным CA на "личном" (только что со склада) ноуте объяснять, почему нет, доступа к этим штукам не с рабочего места у него не будет никогда.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Уязвимость в Apache Struts может затрагивать различные проду..."  –1 +/
Сообщение от Аноним (??) on 12-Сен-17, 16:04 
Заканчивается все это тем что кто-нибудь из борцунов тихой сапой пробрасывает какой-нибудь неочевидный vpn или еще что-нибудь забавное. Иллюзия контроля - штука забавная.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Уязвимость в Apache Struts может затрагивать различные проду..."  –2 +/
Сообщение от пох on 12-Сен-17, 17:20 
> Заканчивается все это тем что кто-нибудь из борцунов тихой сапой пробрасывает какой
> -нибудь неочевидный vpn

если ему такое сходит с рук - непонятно, чего было и защищать.
Если его увольняют в тот же день, как этот vpn выплывает на свет - значит, все в порядке, можно работать.

Мне случалось наблюдать и тот, и другой сценарии - причем, иногда в одной и той же лавке в разных подразделениях.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от xxxx (??) on 12-Сен-17, 19:05 
> разных подразделениях

ты хотел сказать палатах? эк тебя заклинило уже на второй ветке не угомонишься

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Уязвимость в Apache Struts может затрагивать различные проду..."  –1 +/
Сообщение от _ (??) on 12-Сен-17, 21:17 
А чего не тау хУхУхУхУ?
Ынженерам часто дают jump-host и ты для себя можешь соорудить тоннель. Но если такой тоннель будет установлен из sales-оффиса - выпнут и борзого сэйла и лопуха поделившегося credentials ...
Ну вот тоже самое как у тебя в школе - если после звонка опоздаешь на 2 мин - впустят. На больше - к завучу! Теперь понятно? :-))))))
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от Аноним (??) on 13-Сен-17, 02:25 
Такие как ты и лох зачастую вообще не замечают туннель под самым носом. Может у вас такая крутая жопаболь как раз из-за этого?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от L (??) on 13-Сен-17, 22:17 
"...Ынженерам часто дают jump-host и ты для себя можешь соорудить тоннель. Но если такой тоннель будет установлен из sales-оффиса - выпнут и борзого сэйла и лопуха поделившегося credentials ... ""

А это смотря что за продавец и сколько он приносит денег компании... Гораздо проще пожертвовать глупеньким админчиком или инженеришкой, вообразившем себя "королем Интернета" ;-)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от Аноним (??) on 13-Сен-17, 02:21 
> Если его увольняют в тот же день, как этот vpn выплывает на
> свет - значит, все в порядке, можно работать.

Ну всплывет это лет через пять, когда кадр сам уже увольнятся собирался. Или никогда не всплывет. Так бывает, примеры видел.

> Мне случалось наблюдать и тот, и другой сценарии - причем, иногда в
> одной и той же лавке в разных подразделениях.

А я видел и иные сценарии. Ты почему-то исходишь из допущения что админы в какой там лавке самые умные на всей планете. Откуда это следует - не понятно.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от нах on 13-Сен-17, 09:39 
> Ну всплывет это лет через пять, когда кадр сам уже увольнятся собирался.
> Или никогда не всплывет. Так бывает, примеры видел.

я ж говорю - бывает, когда на самом деле защищать никто и не собирался ничего.
Это разные вещи - одно дело, когда я знаю, что вот эта архинужная в хозяйстве хрень - гнилая и к ней не подходить без бот и перчаток, другое - когда хрень мне без надобности, я просто не хочу на себя брать ответственность за продолбанные кем-то пароли и забытый на пляже ноут. Во втором случае, гнусно хихикая, я с удовольствием буду понаблюдать, как каждый индивидуй понастроит себе джампхост, некоторые - даже по пять. Типа, контроль минимальной квалификации пройден, пусть пользуется. Поломают - я не при делах, отдел ИБ прямо по коридору и налево.

>> Мне случалось наблюдать и тот, и другой сценарии - причем, иногда в
>> одной и той же лавке в разных подразделениях.
> А я видел и иные сценарии. Ты почему-то исходишь из допущения что
> админы в какой там лавке самые умные на всей планете. Откуда

э... ты список софта перечитай. Какие, нафиг, админы ;-)
Это инженеры ставят и обслуживают, чаще интеграторские чем свои.

А если админы в лавке дрянь - то тем более не надо рыть нор в обход - они ж на тебя с радостью и свалят при случае все свои продолбы и неумешество. Наоборот, надо старательнейшим образом соблюдать все правила и предписания. Что там у нас - вебех поломали? Отлично, просплю совещание (все равно нахрен не сдалось).

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

26. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от Аноним (??) on 13-Сен-17, 21:01 
> я ж говорю - бывает, когда на самом деле защищать никто и не собирался ничего.

Нанять всю лабораторию Касперского на постоянной основе для действительно хорошего анализа всех мыслимых угроз - по карману не любой компании. К тому же на все компании специалистов такого уровня все-равно не хватит.

> некоторые - даже по пять. Типа, контроль минимальной квалификации пройден, пусть
> пользуется. Поломают - я не при делах, отдел ИБ прямо по коридору и налево.

Поломать могут почти любую реалистичную компанию, вопрос в соотношении затрат и рисков и насколько вменяемо приоритеты расставлены. Бывает и так что наняли вахтера, который развил бурную деятельность, испортил все рабочие процессы, но первый же хаксор потыкавший палочкой все сломает, потому что безопасность в IT все-таки не о том чтобы загнать всех в концлагерь.

> э... ты список софта перечитай. Какие, нафиг, админы ;-)
> Это инженеры ставят и обслуживают, чаще интеграторские чем свои.

Ты про какую-то конкретную контору? Знаешь, у какого-нибудь конкретного АНБ есть и шмон на входе и выходе, но это не значит что произвольно взятая компания может себе это позволить. Это годится для небольшого числа особо чувствительных контор. В результате у них обычно работают печальные бюрократы, которые прекрасно соответствуют километровым инструкциям. Все-равно периодически что-то утекает, чему примером викиликсы.

> А если админы в лавке дрянь - то тем более не надо
> рыть нор в обход - они ж на тебя с радостью и свалят при случае все свои
> продолбы и неумешество.

С другой стороны, если они никогда не найдут туннель и того кто его организовал, то и свалить не смогут. А если они неумехи - вероятность этого почти 100%.

> Наоборот, надо старательнейшим образом соблюдать все правила и предписания.
> Что там у нас - вебех поломали? Отлично, просплю совещание (все равно нахрен
> не сдалось).

Это твой стиль работы. А мой - ориентироваться на результат.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

7. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от Аноним (??) on 12-Сен-17, 16:02 
А в роли слона кто? Ботнетчики которые оперативно сняли снивки по всей планете? Сам понимаешь, бабло побеждает зло. Поэтому хакабельные хосты вывешенные в сеть без дела долго не стоят.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от Аноним (??) on 12-Сен-17, 18:13 
>а слон и ныне там

В посудной лавке.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от _ (??) on 12-Сен-17, 21:11 
>а слон и ныне там.

Не слон, а жаба.
И не "там", а в >|<  :-)  
Скоро мем поменяется и корпоранты запретят еЯ в продакшене :)  

PS: Не падай замертво, это у меня шутки такие :) Ага - знаю :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

19. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от Аноним (??) on 12-Сен-17, 22:21 
>>а слон и ныне там.
> Не слон, а жаба.
> И не "там", а в >|<  :-)

Cкорее уж в (_O_)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

3. "Уязвимость в Apache Struts может затрагивать различные проду..."  –1 +/
Сообщение от пох on 12-Сен-17, 12:02 
> Это же просто восхитительно. С нетерпением жду продолжения

какого тебе еще "продолжения"? Эти штуки своих собственных дырок содержат мильен с тыщами, ну будет еще одна, не совсем своя, никто и не заметит.

Если у тебя prime доступен (хотя бы даже с авторизацией) снаружи - тебе уже все равно, struts там или еще что.

да и webex в общем-то тоже. Хотя, кому нахрен надо его ломать...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Уязвимость в Apache Struts может затрагивать различные проду..."  –1 +/
Сообщение от Аноним (??) on 12-Сен-17, 16:05 
> да и webex в общем-то тоже. Хотя, кому нахрен надо его ломать...

Несколько месяцев назад была как раз уязвимость в webex. И ты не поверишь, ломали его все кому не лень. Если взлом дает доступ к ресурсам или данным которые не общедоступны - его сделают, даже не сомневайся. Потому что выгодный товар - пользуется спросом.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от пох on 12-Сен-17, 17:23 
> Несколько месяцев назад была как раз уязвимость в webex. И ты не
> поверишь, ломали его все кому не лень. Если взлом дает доступ
> к ресурсам или данным которые не общедоступны - его сделают, даже

да вот и вопрос - кому те данные всpались, ломать еще его?

> не сомневайся. Потому что выгодный товар - пользуется спросом.

чота больше на последствия деятельности скрипткидди было похоже, чем на "выгодный товар".

Какой-нибудь корпоративный линк поломать - и то больше толку. (причем что-то там в нем без конца потихому правят, но глобального шухера как-то не слышно)

Кстати, cucm в списке, кажись, нет? С чего бы это...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

23. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от Аноним (??) on 13-Сен-17, 03:27 
> да вот и вопрос - кому те данные всpались, ломать еще его?

Через webex бывает внутрикорпоративный и межкорпоративный треп. Конкурентам может быть интересно. А еще это дает доступ в чей-то интранет, в котором может быть что-нибудь интересное. Блэкхэты любят интранеты. На хабре был забавный топик про то как попасть на дачу президента в 5 (или 6?) утра. Пример российского интранета и чего там бывает. Забавно.

> чота больше на последствия деятельности скрипткидди было похоже, чем на "выгодный товар".

ИМХО такие как ты не заметят если к ним влезут не скрипт киди. Скрипткиди наглеют, шумят, следят. Это и делает их заметными.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от нах on 13-Сен-17, 09:23 
> Через webex бывает внутрикорпоративный и межкорпоративный треп.

вот внутрикорпоративного - ни разу не видел. Это ж банально неудобно (а мелким - ненужно).
Его в основном для как раз "чужих" используют (которых неудобно/вообще невозможно в свои системы запустить), но там ты вряд ли услышишь что-то, что "нетелефонный разговор". Разьве что модная хипста-корпорация со смузи и работой из кафешек, но у таких и взять-то нечего (да и не их это выбор, у них будет скайп с телеграмой, "затобесплатно")

По этой же причине и до интранета там будет дотянуться сложно - такую хрень держат вне общего периметра (а учитывая, кто покупатели - вариантов там особо не будет).

> ИМХО такие как ты не заметят если к ним влезут не скрипт киди. Скрипткиди наглеют,
> шумят, следят. Это и делает их заметными.

ну вот - скрипткидю явно ни разу не видел, а выводы делаешь уже обо мне.
Скрипткиди ни за кем не следят, это тупые школоло, скачавшие на страшном хакерском сайте (таких же) пачку малопонятных им программ, и тычущие ими во все стороны в надежде что сработает. Что делать, когда таки сработало (а оно сработает, на всяк роток не напялишь по два противогаза) - они все равно не знают, гордо пишут в своем вконтактике или где там у них сейчас модно - "я поимел корпорацию XXX!" и идут дальше качать порно.

Если хочется познакомиться с этой публикой и уровнем используемого ей софта (как и уровнем его использования) - подставь ханипот да и посмотри, кто зайдет на огонек. Только свои адреса не используй, арендуй дерьмосервер где-нибудь в хетзнере, лучше - в старых ДЦ, чтоб долго не ждать. (физический! А то ж, моими советами, новый зомбонет соорудите)
Это бесплатно (кроме морального ущерба), через две недели извиняешься и возвращаешь сервер.

ну либо займись уже наконец работой за деньги - как только в списке твоих обязанностей окажется не свое любовно полированное глюкало, а чужие - ты немедленно получишь пачку хонипотов на халяву (нет, сделать с этим ничего нельзя - ни прав у тебя нет, ни возможностей. Но можно расслабиться и понаблюдать за жизнью животных. Очень, знаешь ли, познавательно. Ломать только их в ответ не надо - это несложно, но товарищ майор не одобрит)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от Аноним (??) on 14-Сен-17, 01:51 
> вот внутрикорпоративного - ни разу не видел. Это ж банально неудобно (а мелким - ненужно).

Между разными филиалами иногда бывает. Но чаще межкорпоративные дела.

> но там ты вряд ли услышишь что-то, что "нетелефонный разговор".

Интересного конкурентам - можно. Все-таки большинство бизнеса не может позволить себе регламенты как в АНБ, используют компромиссные варианты. В том числе webex.

> Разьве что модная хипста-корпорация со смузи и работой из кафешек,

Даже у крупняка с мировыми именами бывает по разному. Если вынести webex, есть шанс прорваться в часть интранета. С точки зрения атаки выглядит как неплохой плацдарм для изучения что взять и более адресных атак. У тех кто на безопасности повернут это может не дать ничего кроме самого вебэкса, но в третьесортном филиале делать правильно может быть излишне затратно.

> но у таких и взять-то нечего (да и не их это выбор, у них будет скайп с телеграмой, "затобесплатно")

Именно, поэтому чего ты их вспомнил не понятно. Webex'ом обычно пользуется средние и крупные корпорации. Именно поэтому вебэкс - мишень с интересом выше среднего.

> По этой же причине и до интранета там будет дотянуться сложно - такую хрень держат вне общего периметра

По нормальному да, но это стоит денег и времени и вообще, мир не идеален.

> ну вот - скрипткидю явно ни разу не видел, а выводы делаешь уже обо мне.

Да чего их видеть, они обычно глупы и самонадеяны - легко обнаруживаются. Самые безобидные атакующие.

> Скрипткиди ни за кем не следят,

"оставляют следы", если ты не смог в контекст, ахаха :D

> - подставь ханипот да и посмотри, кто зайдет на огонек.

Зачем мне мелкие вредители и глупые автоматы? Я встречал людей и технологии гораздо интереснее. Некоторые из них вдохновили меня на ряд экспериментов с сетевыми технологиями.

> Только свои адреса не используй,

Мои адреса... это интересное понятие само по себе.

> Это бесплатно (кроме морального ущерба), через две недели извиняешься и возвращаешь сервер.

Ты не видел мою инфраструктуру и технологии. ИМХО ты бы нихрена не понял.

> - ты немедленно получишь пачку хонипотов на халяву (нет, сделать с
> этим ничего нельзя - ни прав у тебя нет, ни возможностей.

Я анализирую логи и в курсе что водится в сети. Уж прости, я сам буду решать какие у меня права. Возможности? Сколько смогу, столько и мое. Мне так нравится.

> Но можно расслабиться и понаблюдать за жизнью животных. Очень, знаешь ли, познавательно.

Эти животные обычно скучные. Но можно это немного исправить.

> Ломать только их в ответ не надо - это несложно, но товарищ майор не одобрит)

Спасибо кэп. Да и нафиг их ломать, у них ничего интересного нет. Зато когда uname возвращает таким деятелям все что угодно от QNX до DOS - это может быть забавно. Ну подумаешь я небольшую либу LD_PRELOADом вгрузил.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

8. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от ryoken (ok) on 12-Сен-17, 16:03 
> Это же просто восхитительно.

Кажется, не зря я сбиваюсь при чтении про эти уязвимости на "Спрутс". (Помнит кто такого персонажа? :) )

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

20. "Уязвимость в Apache Struts может затрагивать различные проду..."  +/
Сообщение от Аноним (??) on 13-Сен-17, 01:04 
Лучший учебник политэкономии для самых маленьких.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

5. "Уязвимость в Apache Struts может затрагивать различные проду..."  +1 +/
Сообщение от Борщдрайвен бигдата on 12-Сен-17, 12:24 
> Уязвимость носит локальный характер и позволяет пользователю системы запустить код с правами серверного процесса, осуществляющего запуск приложений Spark

Ну то такое, довольно странная фигня. Нехорошо, да — но, с другой стороны, spark-submit тот же arbitrary code позволяет запускать нормальным способом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру