آسیبپذیری در Struts، محصولات سیسکو را تحتتأثیر قرار دادهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت سیسکو روز جمعه به کاربران خود هشدار داد که حداقل تعدادی از محصولات این شرکت تحتتأثیر آسیبپذیری اجرای دستور در آپاچی Struts2 قرار گرفتهاند. گفته میشود این آسیبپذیری در دنیای واقعی در حال بهرهبرداری است.
این شرکت فهرست طولانی از محصولاتی را منتشر کرد که تحتتأثیر این آسیبپذیری قرار نگرفتهاند، ولی با اینحال تعداد زیادی از محصولات در حال بررسی هستند. هرچند در بهرهبرداری از این آسیبپذیری، مشاهده شدهاست که بدافزار بر روی ماشینهای هدف توزیع میشود اما سیسکو مدرکی کشف نکردهاست که محصولات این شرکت هدف حمله قرار گرفتهاند.
با اینحال این شرکت به مشتریان خود هشدار داد که بهرهبرداری از این آسیبپذیری بهطور عمومی قابل دسترسی است. نکته جالب توجه این است که گروه امنیتی سیسکو تالوس اولین محققانی بودند که حملات فعال و بهرهبرداری از این آسیبپذیری را گزارش کردند. این آسیبپذیری با شناسه CVE-2017-5638 نسخههای ۲.۳.۵ تا ۲.۳.۳۱ و ۲.۵ تا ۲.۵.۱۰ را هدف قرار داده و در ۱۶ اسفندماه با انتشار نسخههای ۲.۳.۳۲ و ۲.۵.۱۰.۱ وصله شدهاست. یکی از حملات یک روز بعد از انتشار کد اثبات مفهومی این آسیبپذیری توسط یک شخص، انجام شدهبود.
این آسیبپذیری در تجزیهکننده Jakarta Multipart قرار دارد و از پردازش نامناسب سرآیند نوع محتوا ناشی میشود. یک مهاجم راه دور و غیرمجاز میتواند با ارسال یک درخواست جعلی HTTP از این آسیبپذیری بهرهبرداری کند و دستورات دلخواه خود را به اجرا درآورد.
در تلاشهایی که برای بهرهبرداری از این آسیبپذیری مشاهده شدهبود، مهاجمان سعی کردند پس از کشف آسیبپذیری بر روی سامانه هدف، بدافزارهای مختلفی مانند باتهای IRC و منع سرویس را توزیع کنند. Rapid۷ که ترافیک این حملات را تجزیهوتحلیل میکرد، متوجه شد ترافیک زیادی از این حملات از دو ماشین واقع در چین ارسال میشود.
سیسکو و سایر شرکتها نگارش قوانینی را برای دیواره آتش شروع کردهاند تا از وقوع اینگونه حملات جلوگیری شود. یک ابزار برخط نیز منتشر شد و مدیران وبسایتها با استفاده از آن میتوانند وجود این آسیبپذیری را بر روی وبسایت خود بررسی کنند.