Подписки Vulners и Apache Struts RCE

Подписки Vulners и Apache Struts RCE
Если вы работаете в ИБ отделе практически любой крупной компании, занимающейся разработкой ПО, вы наверняка недавно занимались поисками Apache Struts в своей инфраструктуре.

А всё из-за CVE-2017-5638:

Apache Struts - это бесплатный, с открытым исходным кодом, Model-View-Controller (MVC) фреймворк для создания элегантных современных Java-приложений, поддерживающих REST, AJAX и JSON.
В понедельник в блоге компании Talos (Cisco), появилось сообщение о том, что команда их экспертов обнаружила ряд активных атак на уязвимость нулевого дня (CVE-2017-5638 ) в Apache Struts.

Это, кстати, хороший пример, демонстрирующий полезность сервиса Vulners.com .

Просто откройте запрос cvelist:CVE-2017-5638 и вы увидите все объекты, связанные с этой уязвимостью. Кстати, запрос работает до того, как этот номер CVE появится в базах данных NVD и Mitre !

e3053e88bc3b2d34f0c9580af61b6266.png

В результатах запроса описание уязвимости из The Hacker News, руководство по эксплуатации этой уязвимости для получения доступа к серверу из myhack58, плагины для детекта уязвимости Nessus-ом: локальный для Windows и удаленный для cgi .

Этои Nessus плагины должны быть доступен в фиде начиная с 201703081845

Вы также можете удостовериться, что плагин на месте с помощью команды:
$ find /opt/nessus/lib/nessus/plugins -name "struts_2_5_10_1_rce.nasl"
/opt/nessus/lib/nessus/plugins/struts_2_5_10_1_rce.nasl
Используя немного другой запрос query=S2-045 , вы также можете получить полный код эксплойта Struts2 S2-045 Remote Command Execution из Packet Storm (жаль, что они не используют CVE-2017-5638 в описании)

Самый простой способ получить уведомления о новых объектах, связанных с этой уязвимостью, - подписаться на них в Vulners. Vulners теперь поддерживает подписки на  отчеты в формате HTML, PDF и JSON.

9221887f661b84254988cc9cd643b791.png

HTML и PDF хороши для того, чтобы глазами на них смотреть. A JSON пригодится, если вы хотите анализировать вложения в письмах своими скриптами и как-то реагировать на них, например, создавать тикеты в JIRA или запускать сканы для проверки уязвимостей.

Чтобы создать новую подписку, укажите запрос и адрес электронной почты:

6a6e6c415a210dc78dd3ed2b9d884dd8.png

Если вы нажмете на черную иконку с лупой, вы увидите в каком виде вам будут приходить результаты запроса:

f0e0cc7ba7fbf174be7074f1575c9ee3.png

Нажмите кнопку «Add» и подписка появится в общем списке:

a5e51a2a6bbb4167cae7e9ffbc61213b.png

Итак, небольшой Life Hack, чтобы не пропускать новости об уязвимостях:
  1. Перейдите на страницу https://vulners.com/#subscriptions .
  2. Подпишитесь на нужные запросы
  3. Получайте сообщения по электронной почте, как только новые объекты появятся в базе Vulners
  4. ...
  5. Profit!
Apache Struts CVE json nessus NVD Tenable vulners.com
Alt text