Подпись Snort Для Уязвимости Apache Struts Cve-2017-9805

Друзья, добрый день! 7–8 сентября в СМИ и блогах стали появляться сообщения о взломе одного из крупнейших бюро кредитных историй Equifax. Представители американской компании заявили, что утекли данные 143 миллионов человек: имена, адреса, номера социального страхования и, в некоторых случаях, номера кредитных карт. Те, кто знает, сколько сервисов в США работают с этими идентификаторами, могут догадаться о потенциальных масштабах будущих краж личных данных.

Сама утечка произошла в мае 2017 года; об этом стало известно только в конце июня.

А факт утечки не разглашался более месяца.

Из-за этого и потому, что странное поведение топ-менеджмента (они могли продать свою долю в компании за несколько дней до того, как проблемы стали достоянием общественности) Акции Equifax сделали следующее:



5 сентября в блоге lgtm.com, поддерживаемом Semmle Inc., было опубликовано сообщение Использование QL для поиска уязвимости удаленного выполнения кода в Apache Struts .

Уязвимость получила идентификатор CVE-2017-9805 и оценку CVSS Score от 7,5 до 10. То есть все очень серьезно и проблемы могут возникнуть у многих.

Поэтому, как и в прошлый раз с Хочу плакать , мы публикуем подпись Snort для обнаружения попытки эксплуатации этой уязвимости:

   

 alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"AM Exploit Apache Struts 2.5 - REST Plugin XStream Possible Remote Code Execution"; flow:to_server,established; content:"POST"; http_method; nocase; content:"/bin/sh"; nocase; content:"java.lang"; nocase; content:"<command>"; nocase; content:"<opmode>0"; content:"InputStream"; nocase; content:"jdk.nashorn.internal.objects.NativeString"; nocase; content:"ProcessBuilder"; nocase; content:"javax.imageio.ImageIO"; nocase; content:"/struts2-rest-showcase/"; http_uri; reference:cve,2017-9805; reference:url,lgtm.com/blog/apache_struts_CVE-2017-9805; reference:url,exploit-db.com/exploits/42627/; classtype:client-side-exploit; sid:5300590; rev:1)

   

• Уязвимость в Apache Struts позволяет удаленно выполнять код.
• Утечка данных 143 миллионов клиентов Equifax могла произойти из-за уязвимости в Apache Struts.
• Неизвестные взломали кредитное бюро Equifax и украли данные 143 миллионов человек.

• Кредитное бюро Equifax могло быть взломано из-за ошибки в Apache Struts.

• Обзор Ноутбука Lenovo Ideapad B560 59-052101

  19 Oct, 24

• История Обмена Файлами

  19 Oct, 24

• Чехол Для Смартфона, Который Раскладывается В Гарнитуру Vr.

  19 Oct, 24

• Спросите Итана: Правда Ли, Что Получено Доказательство Существования Нового, Пятого Взаимодействия?

  19 Oct, 24

• Нейронные Сети Имеют Удивительно Простую Стратегию Классификации Изображений.

  19 Oct, 24

• Отладка Exc_Bad_Access В Mac Os X И Iphone

  19 Oct, 24

• Контрагенты Wildberry Предъявили Ритейлеру Тринадцать Исков На 80 Млн Рублей

  19 Oct, 24

• Налоговый Суслик - 2. «Налог На Google» И Агентский Ндс Для Российских Предпринимателей И Организаций

  19 Oct, 24

• Бесплатная Книга «Internet Explorer 8. Краткий Обзор Ключевых Новых Возможностей»

  19 Oct, 24

• Testlink – Боль И Слезы Тестировщика Или Панацея? Опыт Внедрения

  19 Oct, 24