紧急 | 思科多款统一通信设备存在Struts2 S2-045漏洞

近日，思科(Cisco)对客户发出通知称，至少一部分思科产品中存在 Apache Struts2命令执行漏洞 。在过去几天里，该漏洞被攻击者大肆利用。

思科公开了存在Struts2漏洞的产品列表

经证实，该漏洞已影响到思科身份服务引擎（ISE）、主要服务目录虚拟设备以及统一SIP代理软件。思科已公布了几十个未受影响的产品清单，但很多产品仍在调查中。

Network and Content Security Devices

Cisco Identity Services Engine (ISE) CSCvd49829

补丁有效: 1.2, 1.3, 1.4, 和 2.x hot patches

(18-March-2017)

Network Management and Provisioning

Cisco Prime Service Catalog Appliance and Virtual Appliance CSCvd49816

补丁有效: psc-patch-12.0.0-1 (13-March-2017)

pscva-patch-12.0.0-1 (14-March-2017)

Voice and Unified Communications Devices

• Cisco Emergency ResponderCSCvd51442
• Cisco Unified Communications Manager IM & Presence Service (formerly CUPS)CSCvd49842
• Cisco Unified Communications Manager Session Management EditionCSCvd49840
• Cisco Unified Communications ManagerCSCvd49840
• Cisco Unified Contact Center EnterpriseCSCvd51210
• Cisco Unified Intelligent Contact Management EnterpriseCSCvd51210
• Cisco Unified SIP Proxy SoftwareCSCvd49788
• Cisco Unity Connection

思科称尚未发现针对其产品攻击的证据

虽然漏洞被积极利用来传播恶意软件，思科尚未发现任何针对其产品攻击的证据。尽管如此，该公司已警示用户，该漏洞的利用程序是公开的。

Struts 2.3.5至2.3.31和Struts 2.5至2.5.10受到了该安全漏洞(CVE-2017-5638)的影响。3月6日，厂商发布了Struts 2.3.32和2.5.10.1。第一轮攻击是在概念证明(PoC)利用程序发布后的一天内被发现的。

虽然漏洞被积极利用来传播恶意软件，思科尚未发现任何针对其产品攻击的证据。尽管如此，该公司已警示用户，该漏洞的利用程序是公开的。

研究人员观察到，漏洞利用程序的目标是确定脆弱系统和攻击者试图提交各种类型的恶意软件（包括IRC保镖和DoS/DDoS僵尸）的系统。

S2-045漏洞是由安恒信息的安全研究员发现并上报厂商的。在与厂商确认该漏洞后，安恒信息在第一时间发布了紧急预警及检测规则更新。目前安恒信息的明鉴系列扫描产品、网站安全监测平台、态势感知通报预警平台等检测类产品和明御Web应用防火墙、APT攻击（网络战）预警平台等防护类产品都已支持对S2-045漏洞的检测或防护。此外，安恒玄武盾也支持对该漏洞的防护，用户可以通过将网站接入到玄武盾，以SaaS服务的方式迅速开启防护。