Исследователи безопасности из компании Cisco предупредили (http://blog.talosintelligence.com/2017/09/apache-struts-bein...) о фиксации новой волны атак на системы, использующие уязвимые версии Apache Struts. Для получения контроля над системами в атаках используется обнародованная (https://www.opennet.me/opennews/art.shtml?num=47139) несколько дней назад критическая уязвимость (CVE-2017-9805), позволяющая выполнить код на сервере. В зафиксированной вредоносной активности преобладают POST-запросы к ресурсу /struts2-rest-showcase/orders/3 с отправкой информации об уязвимой системе на хосты wildkind.ru и st2buzgajl.alifuzz.com.
Кроме того, сообщается (https://tools.cisco.com/security/center/content/CiscoSecurit...) о подверженности уязвимостям в Apache Struts многих продуктов Cisco, в которых применяется данный фреймворк. Уязвимость подтверждена в продуктах Cisco Digital Media Manager,
Cisco MXE 3500 Series Media Experience Engines, Cisco Unified Contact Center Enterprise,
Cisco Unified Intelligent Contact Management Enterprise
и Cisco Network Performance Analysis. В процессе анализа находятся продукты, в которых имеются подозрения на проявление уязвимости:
- Cisco Unified MeetingPlace
- Cisco WebEx Meetings Server
- Cisco Prime Service Catalog
- Cisco Prime Home
- Cisco Prime Network
- Cisco Hosted Collaboration Solution for Contact Center
- Cisco Unified Survivable Remote Site Telephony Manager
- Cisco Enterprise Content Delivery System (ECDS)
- Cisco Video Distribution Suite for Internet Streaming (VDS-IS)
- Cisco Deployment Automation Tool
- Cisco Smart Net Total Care
- Cisco Tidal Performance Analyzer
- Cisco Unified Service Delivery Platform
- Cisco WebEx Network-Based Recording (NBR) Management
Дополнительно можно отметить раскрытие (https://struts.apache.org/docs/s2-053.html) сведений ещё об одной уязвимости (CVE-2017-12611) в Apache Struts, которая была исправлена в июльских выпусках Struts 2.5.12 и Struts 2.3.34. Проблема проявляется только в приложениях, использующих некорректные конструкции в тегах Freemarker. В случае успешной атаки может быть выполнен код на сервере. Компания Cisco уже подтвердила (https://tools.cisco.com/security/center/content/CiscoSecurit...) проявление данной уязвимости в ряде своих продуктов.
Проблемы с десериализацией объектов также выявлены (http://openwall.com/lists/oss-security/2017/09/08/4) в API движка обработки больших объёмов данных Apache Spark (http://spark.apache.org/) (с версии 1.6.0 по 2.1.1 включительно). Уязвимость носит локальный характер и позволяет пользователю системы запустить код с правами серверного процесса, осуществляющего запуск приложений Spark. Проблема устранена в выпуске Apache Spark 2.2.0.
URL: http://blog.talosintelligence.com/2017/09/apache-struts-bein...
Новость: http://www.opennet.me/opennews/art.shtml?num=47181
Это же просто восхитительно. С нетерпением жду продолжения (ну не успеют же они всё везде пофиксить до этого самого "продолжения". Надеюсь что нет.)
>Это же просто восхитительно...заявила Моська :) а слон и ныне там.
> ...заявила Моська :) а слон и ныне там.ага - пилит, откатывает, все как нада. А ты сиди, придумывай, как очередному альтернативно-одаренному, борцуну с корпоративным CA на "личном" (только что со склада) ноуте объяснять, почему нет, доступа к этим штукам не с рабочего места у него не будет никогда.
Заканчивается все это тем что кто-нибудь из борцунов тихой сапой пробрасывает какой-нибудь неочевидный vpn или еще что-нибудь забавное. Иллюзия контроля - штука забавная.
> Заканчивается все это тем что кто-нибудь из борцунов тихой сапой пробрасывает какой
> -нибудь неочевидный vpnесли ему такое сходит с рук - непонятно, чего было и защищать.
Если его увольняют в тот же день, как этот vpn выплывает на свет - значит, все в порядке, можно работать.Мне случалось наблюдать и тот, и другой сценарии - причем, иногда в одной и той же лавке в разных подразделениях.
> разных подразделенияхты хотел сказать палатах? эк тебя заклинило уже на второй ветке не угомонишься
А чего не тау хУхУхУхУ?
Ынженерам часто дают jump-host и ты для себя можешь соорудить тоннель. Но если такой тоннель будет установлен из sales-оффиса - выпнут и борзого сэйла и лопуха поделившегося credentials ...
Ну вот тоже самое как у тебя в школе - если после звонка опоздаешь на 2 мин - впустят. На больше - к завучу! Теперь понятно? :-))))))
Такие как ты и лох зачастую вообще не замечают туннель под самым носом. Может у вас такая крутая жопаболь как раз из-за этого?
"...Ынженерам часто дают jump-host и ты для себя можешь соорудить тоннель. Но если такой тоннель будет установлен из sales-оффиса - выпнут и борзого сэйла и лопуха поделившегося credentials ... ""А это смотря что за продавец и сколько он приносит денег компании... Гораздо проще пожертвовать глупеньким админчиком или инженеришкой, вообразившем себя "королем Интернета" ;-)
> Если его увольняют в тот же день, как этот vpn выплывает на
> свет - значит, все в порядке, можно работать.Ну всплывет это лет через пять, когда кадр сам уже увольнятся собирался. Или никогда не всплывет. Так бывает, примеры видел.
> Мне случалось наблюдать и тот, и другой сценарии - причем, иногда в
> одной и той же лавке в разных подразделениях.А я видел и иные сценарии. Ты почему-то исходишь из допущения что админы в какой там лавке самые умные на всей планете. Откуда это следует - не понятно.
> Ну всплывет это лет через пять, когда кадр сам уже увольнятся собирался.
> Или никогда не всплывет. Так бывает, примеры видел.я ж говорю - бывает, когда на самом деле защищать никто и не собирался ничего.
Это разные вещи - одно дело, когда я знаю, что вот эта архинужная в хозяйстве хрень - гнилая и к ней не подходить без бот и перчаток, другое - когда хрень мне без надобности, я просто не хочу на себя брать ответственность за продолбанные кем-то пароли и забытый на пляже ноут. Во втором случае, гнусно хихикая, я с удовольствием буду понаблюдать, как каждый индивидуй понастроит себе джампхост, некоторые - даже по пять. Типа, контроль минимальной квалификации пройден, пусть пользуется. Поломают - я не при делах, отдел ИБ прямо по коридору и налево.>> Мне случалось наблюдать и тот, и другой сценарии - причем, иногда в
>> одной и той же лавке в разных подразделениях.
> А я видел и иные сценарии. Ты почему-то исходишь из допущения что
> админы в какой там лавке самые умные на всей планете. Откудаэ... ты список софта перечитай. Какие, нафиг, админы ;-)
Это инженеры ставят и обслуживают, чаще интеграторские чем свои.А если админы в лавке дрянь - то тем более не надо рыть нор в обход - они ж на тебя с радостью и свалят при случае все свои продолбы и неумешество. Наоборот, надо старательнейшим образом соблюдать все правила и предписания. Что там у нас - вебех поломали? Отлично, просплю совещание (все равно нахрен не сдалось).
> я ж говорю - бывает, когда на самом деле защищать никто и не собирался ничего.Нанять всю лабораторию Касперского на постоянной основе для действительно хорошего анализа всех мыслимых угроз - по карману не любой компании. К тому же на все компании специалистов такого уровня все-равно не хватит.
> некоторые - даже по пять. Типа, контроль минимальной квалификации пройден, пусть
> пользуется. Поломают - я не при делах, отдел ИБ прямо по коридору и налево.Поломать могут почти любую реалистичную компанию, вопрос в соотношении затрат и рисков и насколько вменяемо приоритеты расставлены. Бывает и так что наняли вахтера, который развил бурную деятельность, испортил все рабочие процессы, но первый же хаксор потыкавший палочкой все сломает, потому что безопасность в IT все-таки не о том чтобы загнать всех в концлагерь.
> э... ты список софта перечитай. Какие, нафиг, админы ;-)
> Это инженеры ставят и обслуживают, чаще интеграторские чем свои.Ты про какую-то конкретную контору? Знаешь, у какого-нибудь конкретного АНБ есть и шмон на входе и выходе, но это не значит что произвольно взятая компания может себе это позволить. Это годится для небольшого числа особо чувствительных контор. В результате у них обычно работают печальные бюрократы, которые прекрасно соответствуют километровым инструкциям. Все-равно периодически что-то утекает, чему примером викиликсы.
> А если админы в лавке дрянь - то тем более не надо
> рыть нор в обход - они ж на тебя с радостью и свалят при случае все свои
> продолбы и неумешество.С другой стороны, если они никогда не найдут туннель и того кто его организовал, то и свалить не смогут. А если они неумехи - вероятность этого почти 100%.
> Наоборот, надо старательнейшим образом соблюдать все правила и предписания.
> Что там у нас - вебех поломали? Отлично, просплю совещание (все равно нахрен
> не сдалось).Это твой стиль работы. А мой - ориентироваться на результат.
А в роли слона кто? Ботнетчики которые оперативно сняли снивки по всей планете? Сам понимаешь, бабло побеждает зло. Поэтому хакабельные хосты вывешенные в сеть без дела долго не стоят.
>а слон и ныне тамВ посудной лавке.
>а слон и ныне там.Не слон, а жаба.
И не "там", а в >|< :-)
Скоро мем поменяется и корпоранты запретят еЯ в продакшене :)PS: Не падай замертво, это у меня шутки такие :) Ага - знаю :)
>>а слон и ныне там.
> Не слон, а жаба.
> И не "там", а в >|< :-)Cкорее уж в (_O_)
> Это же просто восхитительно. С нетерпением жду продолжениякакого тебе еще "продолжения"? Эти штуки своих собственных дырок содержат мильен с тыщами, ну будет еще одна, не совсем своя, никто и не заметит.
Если у тебя prime доступен (хотя бы даже с авторизацией) снаружи - тебе уже все равно, struts там или еще что.
да и webex в общем-то тоже. Хотя, кому нахрен надо его ломать...
> да и webex в общем-то тоже. Хотя, кому нахрен надо его ломать...Несколько месяцев назад была как раз уязвимость в webex. И ты не поверишь, ломали его все кому не лень. Если взлом дает доступ к ресурсам или данным которые не общедоступны - его сделают, даже не сомневайся. Потому что выгодный товар - пользуется спросом.
> Несколько месяцев назад была как раз уязвимость в webex. И ты не
> поверишь, ломали его все кому не лень. Если взлом дает доступ
> к ресурсам или данным которые не общедоступны - его сделают, дажеда вот и вопрос - кому те данные всpались, ломать еще его?
> не сомневайся. Потому что выгодный товар - пользуется спросом.
чота больше на последствия деятельности скрипткидди было похоже, чем на "выгодный товар".
Какой-нибудь корпоративный линк поломать - и то больше толку. (причем что-то там в нем без конца потихому правят, но глобального шухера как-то не слышно)
Кстати, cucm в списке, кажись, нет? С чего бы это...
> да вот и вопрос - кому те данные всpались, ломать еще его?Через webex бывает внутрикорпоративный и межкорпоративный треп. Конкурентам может быть интересно. А еще это дает доступ в чей-то интранет, в котором может быть что-нибудь интересное. Блэкхэты любят интранеты. На хабре был забавный топик про то как попасть на дачу президента в 5 (или 6?) утра. Пример российского интранета и чего там бывает. Забавно.
> чота больше на последствия деятельности скрипткидди было похоже, чем на "выгодный товар".
ИМХО такие как ты не заметят если к ним влезут не скрипт киди. Скрипткиди наглеют, шумят, следят. Это и делает их заметными.
> Через webex бывает внутрикорпоративный и межкорпоративный треп.вот внутрикорпоративного - ни разу не видел. Это ж банально неудобно (а мелким - ненужно).
Его в основном для как раз "чужих" используют (которых неудобно/вообще невозможно в свои системы запустить), но там ты вряд ли услышишь что-то, что "нетелефонный разговор". Разьве что модная хипста-корпорация со смузи и работой из кафешек, но у таких и взять-то нечего (да и не их это выбор, у них будет скайп с телеграмой, "затобесплатно")По этой же причине и до интранета там будет дотянуться сложно - такую хрень держат вне общего периметра (а учитывая, кто покупатели - вариантов там особо не будет).
> ИМХО такие как ты не заметят если к ним влезут не скрипт киди. Скрипткиди наглеют,
> шумят, следят. Это и делает их заметными.ну вот - скрипткидю явно ни разу не видел, а выводы делаешь уже обо мне.
Скрипткиди ни за кем не следят, это тупые школоло, скачавшие на страшном хакерском сайте (таких же) пачку малопонятных им программ, и тычущие ими во все стороны в надежде что сработает. Что делать, когда таки сработало (а оно сработает, на всяк роток не напялишь по два противогаза) - они все равно не знают, гордо пишут в своем вконтактике или где там у них сейчас модно - "я поимел корпорацию XXX!" и идут дальше качать порно.Если хочется познакомиться с этой публикой и уровнем используемого ей софта (как и уровнем его использования) - подставь ханипот да и посмотри, кто зайдет на огонек. Только свои адреса не используй, арендуй дерьмосервер где-нибудь в хетзнере, лучше - в старых ДЦ, чтоб долго не ждать. (физический! А то ж, моими советами, новый зомбонет соорудите)
Это бесплатно (кроме морального ущерба), через две недели извиняешься и возвращаешь сервер.ну либо займись уже наконец работой за деньги - как только в списке твоих обязанностей окажется не свое любовно полированное глюкало, а чужие - ты немедленно получишь пачку хонипотов на халяву (нет, сделать с этим ничего нельзя - ни прав у тебя нет, ни возможностей. Но можно расслабиться и понаблюдать за жизнью животных. Очень, знаешь ли, познавательно. Ломать только их в ответ не надо - это несложно, но товарищ майор не одобрит)
> вот внутрикорпоративного - ни разу не видел. Это ж банально неудобно (а мелким - ненужно).Между разными филиалами иногда бывает. Но чаще межкорпоративные дела.
> но там ты вряд ли услышишь что-то, что "нетелефонный разговор".
Интересного конкурентам - можно. Все-таки большинство бизнеса не может позволить себе регламенты как в АНБ, используют компромиссные варианты. В том числе webex.
> Разьве что модная хипста-корпорация со смузи и работой из кафешек,
Даже у крупняка с мировыми именами бывает по разному. Если вынести webex, есть шанс прорваться в часть интранета. С точки зрения атаки выглядит как неплохой плацдарм для изучения что взять и более адресных атак. У тех кто на безопасности повернут это может не дать ничего кроме самого вебэкса, но в третьесортном филиале делать правильно может быть излишне затратно.
> но у таких и взять-то нечего (да и не их это выбор, у них будет скайп с телеграмой, "затобесплатно")
Именно, поэтому чего ты их вспомнил не понятно. Webex'ом обычно пользуется средние и крупные корпорации. Именно поэтому вебэкс - мишень с интересом выше среднего.
> По этой же причине и до интранета там будет дотянуться сложно - такую хрень держат вне общего периметра
По нормальному да, но это стоит денег и времени и вообще, мир не идеален.
> ну вот - скрипткидю явно ни разу не видел, а выводы делаешь уже обо мне.
Да чего их видеть, они обычно глупы и самонадеяны - легко обнаруживаются. Самые безобидные атакующие.
> Скрипткиди ни за кем не следят,
"оставляют следы", если ты не смог в контекст, ахаха :D
> - подставь ханипот да и посмотри, кто зайдет на огонек.
Зачем мне мелкие вредители и глупые автоматы? Я встречал людей и технологии гораздо интереснее. Некоторые из них вдохновили меня на ряд экспериментов с сетевыми технологиями.
> Только свои адреса не используй,
Мои адреса... это интересное понятие само по себе.
> Это бесплатно (кроме морального ущерба), через две недели извиняешься и возвращаешь сервер.
Ты не видел мою инфраструктуру и технологии. ИМХО ты бы нихрена не понял.
> - ты немедленно получишь пачку хонипотов на халяву (нет, сделать с
> этим ничего нельзя - ни прав у тебя нет, ни возможностей.Я анализирую логи и в курсе что водится в сети. Уж прости, я сам буду решать какие у меня права. Возможности? Сколько смогу, столько и мое. Мне так нравится.
> Но можно расслабиться и понаблюдать за жизнью животных. Очень, знаешь ли, познавательно.
Эти животные обычно скучные. Но можно это немного исправить.
> Ломать только их в ответ не надо - это несложно, но товарищ майор не одобрит)
Спасибо кэп. Да и нафиг их ломать, у них ничего интересного нет. Зато когда uname возвращает таким деятелям все что угодно от QNX до DOS - это может быть забавно. Ну подумаешь я небольшую либу LD_PRELOADом вгрузил.
> Это же просто восхитительно.Кажется, не зря я сбиваюсь при чтении про эти уязвимости на "Спрутс". (Помнит кто такого персонажа? :) )
Лучший учебник политэкономии для самых маленьких.
> Уязвимость носит локальный характер и позволяет пользователю системы запустить код с правами серверного процесса, осуществляющего запуск приложений SparkНу то такое, довольно странная фигня. Нехорошо, да — но, с другой стороны, spark-submit тот же arbitrary code позволяет запускать нормальным способом.