اثرپذیری محصولات سیسکو از آسیب‌پذیری در Struts

آسیب‌پذیری در Struts، محصولات سیسکو را تحت‌تأثیر قرار داده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت سیسکو روز جمعه به کاربران خود هشدار داد که حداقل تعدادی از محصولات این شرکت تحت‌تأثیر آسیب‌پذیری اجرای دستور در آپاچی Struts2 قرار گرفته‌‌اند. گفته می‌شود این آسیب‌پذیری در دنیای واقعی در حال بهره‌برداری است.

این شرکت فهرست طولانی از محصولاتی را منتشر کرد که تحت‌تأثیر این آسیب‌پذیری قرار نگرفته‌اند، ولی با این‌حال تعداد زیادی از محصولات در حال بررسی هستند. هرچند در بهره‌برداری از این آسیب‌پذیری، مشاهده شده‌است که بدافزار بر روی ماشین‌های هدف توزیع می‌شود اما سیسکو مدرکی کشف نکرد‌ه‌است که محصولات این شرکت هدف حمله قرار گرفته‌اند.

با این‌حال این شرکت به مشتریان خود هشدار داد که بهره‌برداری از این آسیب‌پذیری به‌طور عمومی قابل دسترسی است. نکته‌ جالب توجه این است که گروه امنیتی سیسکو تالوس اولین محققانی بودند که حملات فعال و بهره‌برداری از این آسیب‌پذیری را گزارش کردند. این آسیب‌پذیری با شناسه‌ CVE-2017-5638 نسخه‌های ۲.۳.۵ تا ۲.۳.۳۱ و ۲.۵ تا ۲.۵.۱۰ را هدف قرار داده و در ۱۶ اسفندماه با انتشار نسخه‌های ۲.۳.۳۲ و ۲.۵.۱۰.۱ وصله شده‌است. یکی از حملات یک روز بعد از انتشار کد اثبات مفهومی این آسیب‌پذیری توسط یک شخص، انجام شده‌بود.

این آسیب‌پذیری در تجزیه‌کننده‌ Jakarta Multipart قرار دارد و از پردازش نامناسب سرآیند نوع محتوا ناشی می‌شود. یک مهاجم راه دور و غیرمجاز می‌تواند با ارسال یک درخواست جعلی HTTP از این آسیب‌پذیری بهره‌برداری کند و دستورات دلخواه خود را به اجرا درآورد.

در تلاش‌هایی که برای بهره‌برداری از این آسیب‌پذیری مشاهده شده‌بود، مهاجمان سعی کردند پس از کشف آسیب‌پذیری بر روی سامانه‌ هدف، بدافزارهای مختلفی مانند بات‌های IRC و منع سرویس را توزیع کنند. Rapid۷ که ترافیک این حملات را تجزیه‌وتحلیل می‌کرد، متوجه شد ترافیک زیادی از این حملات از دو ماشین واقع در چین ارسال می‌شود. 

سیسکو و سایر شرکت‌ها نگارش قوانینی را برای دیواره‌ آتش شروع کرده‌اند تا از وقوع این‌گونه حملات جلوگیری شود. یک ابزار برخط نیز منتشر شد و مدیران وب‌سایت‌ها با استفاده از آن می‌توانند وجود این آسیب‌پذیری را بر روی وب‌سایت خود بررسی کنند.