Apache Struts 2缺陷影响多个Cisco产品

Apache Struts是一个免费的、开源的MVC框架，用于用Java编程语言开发web应用程序，财富100强公司中有65%使用它，包括洛克希德·马丁公司、沃达丰公司、维珍大西洋公司和美国国税局。

然而，最近发现流行的开源软件包受到多个漏洞的影响，包括两个远程代码执行漏洞；一个是在本月早些时候发现的，另一个是在3月，其中一个据信被用来泄露超过1.43亿Equifax用户的个人数据。
思科的一些产品，包括其数字媒体管理器、MXE 3500系列媒体体验引擎、网络性能分析、呼叫中心托管协作解决方案，以及统一呼叫中心企业，已被发现存在多个Apache Struts缺陷。

Cisco发布Apache Struts漏洞搜索

Cisco还针对Apache Struts2中新发现的四个安全漏洞测试了其其余产品，包括我们9月5日报告的一个（CVE-2017-9805），以及上周还披露的其余三个。

然而，该公司最近的安全审计并未包括今年3月被积极利用的远程代码执行漏洞（CVE-2017-5638）。

三大漏洞：CVE-2017-9793、CVE-2017-9804和CVE-2017-9805，包含在思科安全审计的Apache软件基金会于9月5日发布了Apache Struts 2.5.13，修补了这些问题。

Cisco正在调查的第四个漏洞（CVE-2017-12611）于9月7日发布，Apache Struts 2.3.34修复了Apache Struts2软件包的Freemarker标记功能中存在的漏洞，允许未经验证的远程攻击者在受影响的系统上执行恶意代码。

Apache Struts漏洞被积极攻击服务器&amp；发送恶意软件

最严重的是，CVE-2017-9805（被指定为critical）是一个编程错误，它的表现是由于Struts REST插件在反序列化XML有效负载时处理XML有效负载的方式。

这可能会让远程未经验证的攻击者在运行易受攻击的Apache Struts2版本的主机上实现远程代码执行，Cisco的威胁情报公司Talos发现，该漏洞正在被积极利用，以发现易受攻击的服务器。

数据中心安全供应商Imperva的安全研究人员最近检测到并阻止了数千次试图利用Apache Struts2漏洞（CVE-2017-9805）的攻击，其中大约80%的人试图提供恶意负载。

大多数攻击源于中国，一家中国电子商务公司注册了一个中国IP地址，发送了超过40%的请求。袭击还来自澳大利亚、美国、巴西、加拿大、俄罗斯和欧洲各地。

在剩下的两个缺陷中，有一个（CVE-2017-9793）是Apache Struts的REST插件中的一个漏洞，由于“REST插件中的XStream库对受影响应用程序的用户提供的输入验证不足”而表现出来

该漏洞的严重性为中等，可能允许未经验证的远程攻击者在目标系统上造成拒绝服务（DoS）情况。

最后一个漏洞（CVE-2017-9804）还允许未经验证的远程攻击者在受影响的系统上造成拒绝服务（DoS）情况，但存在于Apache Struts的URLValidator功能中。

Cisco正在针对这些漏洞测试其产品，包括其WebEx Meetings服务器、数据中心网络管理器、身份服务引擎（ISE）、MXE 3500系列媒体体验引擎、几款Cisco Prime产品、一些用于语音和统一通信的产品，以及视频和流媒体服务。

目前，没有解决Cisco产品漏洞的软件补丁，但该公司承诺将发布受影响软件的更新，这些更新将很快通过Cisco Bug搜索工具进行访问。

由于该框架正被《财富》100强的大多数公司广泛使用，他们还应该针对这些包含Apache Struts2版本的漏洞检查其基础设施。