Setelah pelanggaran data Equifax yang diyakini disebabkan karena adanya kerentanan di Apache Struts, Cisco telah memulai penyelidikan atas produknya yang menggabungkan versi framework aplikasi web Apache Struts2.
Ditemukan beberapa produk Cisco rentan terhadap kerentanan Apache Struts, termasuk Digital Media Manager, MXE 3500 Series Media Experience Engines, Network Performance Analysis, Hosted Collaboration Solution for Contact Center, dan Unified Contact Center Enterprise.
Cisco Meluncurkan Berburu Kerentanan Apache Struts
Cisco juga menguji sisa produknya terhadap empat kerentanan keamanan yang baru ditemukan di Apache Struts2, termasuk (CVE-2017-9805) yang kami laporkan pada tanggal awal September.
Namun, bug remote code execution (CVE-2017-5638) yang secara aktif dieksploitasi kembali pada bulan Maret tahun ini tidak disertakan oleh perusahaan dalam audit keamanan terkini.
Tiga kerentanan – CVE-2017-9793, CVE-2017-9804 dan CVE-2017-9805 – yang termasuk dalam audit keamanan Cisco yang patch nya dirilis oleh Apache Software Foundation pada tanggal 5 September dengan peluncuran Apache Struts 2.5.13.
Kerentanan keempat (CVE-2017-12611) yang sedang diselidiki oleh Cisco patch nya diluncurkan pada tanggal 7 September dengan diluncurkannya Apache Struts 2.3.34.
Kerentanan Apache Struts Aktif Dieksploitasi Untuk Meretas Server & Mengirim Malware
Datang ke yang paling parah, CVE-2017-9805 adalah bug pemrograman yang bermanifestasi karena plugin Struts REST menangani muatan XML sambil deserializing.
Ini bisa memungkinkan penyerang remote yang tidak terauthentikasi untuk mencapai remote code execution di host yang menjalankan versi Apache Struts2 yang rentan. Dan firm intelijen ancaman Cisco, Talos, telah mengamati bahwa kerentanan ini sedang dalam eksploitasi aktif untuk menemukan server yang rentan.
Peneliti keamanan dari vendor keamanan data center Imperva baru-baru ini mendeteksi dan memblokir ribuan serangan yang mencoba memanfaatkan kerentanan Apache Struts2 ini (CVE-2017-9805), dengan sekitar 80 persen dari mereka mencoba mengirimkan muatan berbahaya.
Mayoritas serangan berasal dari China dengan satu alamat IP Tionghoa yang terdaftar di sebuah perusahaan e-commerce China mengirimkan lebih dari 40% permintaan. Serangan juga datang dari Australia, A.S., Brazil, Canada, Russia dan berbagai bagian Eropa.
Dari dua kekurangan yang tersisa, satu (CVE-2017-9793) lagi-lagi merupakan kerentanan dalam plugin REST untuk Apache Struts yang bermanifestasi karena “validasi yang tidak memadai dari masukan yang diberikan pengguna oleh library XStream di plugin REST untuk aplikasi yang terkena dampak.”
Kerentanan ini telah diberi tingkat keparahan sedang dan memungkinkan penyerang jarak jauh yang tidak berkepentingan untuk menyebabkan kondisi denial of service (DoS) pada sistem yang ditargetkan.
Kerentanan terakhir (CVE-2017-9804) juga memungkinkan penyerang jarak jauh yang tidak berkepentingan untuk menyebabkan kondisidenial of service (DoS) pada sistem yang terpengaruh namun berada pada fitur URLValidator Apache Struts.
Cisco menguji produknya terhadap kerentanan ini termasuk WebEx Meetings Server, Data Center Network Manager, Identity Services Engine (ISE), MXE 3500 Series Media Experience Engines, beberapa produk Cisco Prime, beberapa produk untuk komunikasi suara dan terpadu, serta layanan video dan streaming.
Saat ini, tidak ada patch perangkat lunak untuk mengatasi kerentanan produk Cisco, namun perusahaan tersebut berjanji akan merilis update untuk perangkat lunak yang terpengaruh yang akan segera dapat diakses melalui Cisco Bug Search Tool.
