Следующая новость
Предыдущая новость

Уязвимости в Apache Struts могут нести угрозу многим продуктам Cisco

13.09.2017 19:26

Специалисты компании Cisco сообщают, что приступили к масштабному аудиту продуктов, связанному с уязвимостями, недавно обнаруженными в составе фреймворка Apache Struts.

Напомню, что на прошлой неделе исследователи LGTM обнаружили ряд проблем, включая опасную RCE-уязвимость (CVE-2017-9805), в Apache Struts, который используется для создания Java EE веб-приложений и применяется во многих энтерпрайз-приложениях компаний из топа Fortune. Так, Apache Struts пользуются такие гиганты, как Lockheed Martin, Citigroup, Vodafone, Virgin Atlantic, Reader’s Digest, и так далее. Обнаруженный баг позволяет атакующему выполнить произвольный код на уязвимом сервере.

Теперь разработчики Cisco опубликовали два бюллетеня безопасности (1 и 2), в которых уже можно найти списки уязвимых и не подверженных проблемам продуктов. Напомню, что 5 сентября 2017 года в Apache Struts 2.5.13 были устранены баги CVE-2017-9804, CVE-2017-9805 и CVE-2017-9793, а 7 сентября релиз Struts 2.3.34 исправил RCE-проблему CVE-2017-12611. Именно этим релизам и посвящены бюллетени Cisco.

Основные тревоги разработчиков и ИБ-экспертов связаны с тем, что экплоиты для уязвимостей CVE-2017-9805 и CVE-201712611 уже были опубликованы в сети. Так, аналитики Cisco Talos и Imperva уже сообщили о том, что злоумышленники взяли эксплоиты на вооружение и активно используют критический баг CVE-2017-9805. По словам экспертов Imperva, пока атаки исходят преимущественно из Китая.

Инженеры Cisco пишут, что проблема CVE-2017-9805 точно затронула MXE 3500 Series Media Experience Engines, Unified Contact Center Enterprise, Unified Intelligent Contact Management Enterprise, а также Network Performance Analysis. Баг CVE-2017-12611, в свою очередь, опасен для Cisco Digital Media Manager, Hosted Collaboration Solution for Contact Center, Unified Contact Center Enterprise и Unified Intelligent Contact Management Enterprise. Также проводится проверка WebEx Meetings Server, Data Center Network Manager, Identity Services Engine (ISE) и так далее.

Источник

Последние новости