Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ

Центр кибербезопасности ФГУП «ЗащитаИнфоТранс» сообщает, что в компоненте программного обеспечения Apache Struts, которое используется для создания Java EE веб-приложений и применяется во многих энтерпрайз-приложениях компаний из топа Fortune были обнаружены уязвимости.

 

Уязвимость в Apache Struts может позволить не прошедшему проверку подлинности удаленному злоумышленнику выполнить произвольный код в целевой системе. Уязвимость возникает из-за небезопасного использования допустимых для записи значений выражения в контенте Freemarker, который обрабатывается соответствующим приложением. Злоумышленник может использовать эту уязвимость, добавляя вредоносные значения в записываемые выражения, которые подаются на зараженное приложение для обработки. Этой уязвимости был присвоен следующий идентификатор: CVE-2017-12611 Оценка уязвимости (SIR) этой уязвимости является критичной.

Уязвимость в подключаемом модуле State Transfer (REST) Apache Struts позволяет удаленному злоумышленнику выполнить произвольный код. Уязвимость возникает из-за неправильной обработки XML-запросов подключаемым модулем REST с обработчиком XStream для зараженного программного обеспечения. Злоумышленник может использовать эту уязвимость, отправив обработанный XML-контент в целевую систему. К этой уязвимости был присвоен следующий идентификатор CVE: CVE-2017-9805. Оценка уязвимости (SIR) этой уязвимости является критичной.

Специалисты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» обращают внимание, что эксплойты для уязвимостей CVE-2017-9805 и CVE-2017-12611 уже опубликованы в сети «Интернет» и могут быть использованы потенциальными злоумышленниками.

По имеющейся информации уязвимость CVE-2017-9805 уже активно используется хакерами, такие атаки исходят преимущественно из Китая.

Данной уязвимости подвержены, например, широко используемые продукты компании Cisco, такие как:

·         MXE 3500 Series Media Experience Engines

·         Network Performance Analysis

·         Cisco Digital Media Manager

·         Hosted Collaboration Solution for Contact Center

·         Unified Contact Center Enterprise

·         Unified Intelligent Contact Management Enterprise

·         Cisco Video Distribution для потоковой передачи Интернета (VDS-IS)

Приведенный список уязвимых компонентов не является исчерпывающим, на данный момент продолжается проверка других продуктов компании Cisco.

В настоящее время отсутствуют официальные обновления программного обеспечения, которые устраняют указанную уязвимость.

Специалисты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют следить за обновлениями программного обеспечения, использующего   Apache Struts, на сайтах производителей такого программного обеспечения и своевременно устанавливать все обновления безопасности.