Бизнес-портал directrix.ru, курсы валют, новости бизнеса, рейтинг сайтов
ПОИСК

Cisco спешно ищет уязвимости в своем ПО для веб-трансляций

15:09
Угроза с открытым кодом

Программисты Cisco экстренно проверяют все продукты компании на наличие уязвимостей, выявленных в пакете Apache Struts, активно используемом в разработках Cisco.

На данный момент Cisco изучает потенциальные угрозы в WebEx Meetings Server, Data Center Network Manager, Identity Services Engine, нескольких разработках серии Cisco Prime и других продуктах, используемых для веб-трансляций и видеосервисов.

Apache Struts представляет собой открытый MVC-фреймворк, написанный на Java; его часто используют для создания сложных систем, таких как серверное ПО и корпоративные приложения.

В продуктах Cisco для веб-трансляций подозревают уязвимости, связанные с Apache

Из 100 компаний, входящих в список Fortune 100, более 60 используют Struts в том или ином виде.

Одной критической уязвимости хватает

5 сентября 2017 г. одновременно с выпуском Apache Struts 2.5.13 компания Cisco опубликовала бюллетень безопасности, описывающий исправленные новым релизом уязвимости - CVE-2017-9804 и CVE-2017-9793. Спустя два дня было выпущено еще одно обновление Struts (2.3.34), которое исправляло уязвимость CVE-2017-12611.

Из всех четырех только CVE-2017-9805 считается критической, в том числе по причине простоты ее эксплуатации. Однако эксплойты существуют и для нее, и для CVE-2017-12611. Несколько фирм, занимающихся вопросами кибербезопасности, отметили, что атаки на уязвимость CVE-2017-9805 уже происходят.

В ближайшем будущем Cisco планирует выпустить патчи, которые позволят интегрировать обновления Struts в проприетарные разработки самой Cisco.

Пока гром не грянет?

'Полный аудит безопасности - процедура, которая должна проводиться регулярно, а не только по случаю обнаружения каких-либо уязвимостей, - считает Валерий Тюхменев, эксперт по безопасности компании SEC Consult Services. - Это довольно затратная процедура, но расходы на ликвидацию последствий серьезного взлома, особенно в корпоративных сетях, оказываются выше на несколько порядков'.

Ранее в этом году эксперты обнаружили в Apache Struts уязвимость нулевого дня CVE-2017-5638, которую уже использовали в атаках на корпоративные серверы. Ходят упорные слухи, что катастрофическая утечка данных из бюро кредитных историй Equifax оказалась возможна именно благодаря этой уязвимости, хотя эти предположения пока ничем не подтверждены.

В текущий аудит безопасности Cisco данная уязвимость не входит.

Новости на эту тему

Роскомнадзор выбрал ПО для блокировки запрещенных сайтов Роскомнадзор сообщил о подведении итогов тестирования программного обеспечения Ubic, предназначенного для блокирования операторами связи доступа к запрещенным интернет-сайтам. Разработчиком UBIC является компания 'Безопасный интернет'...
Почти 2 миллиарда на SAN Сбербанк готов потратить на оборудование и техподдержку сети хранения данных (SAN) в своем строящемся ЦОДе в иннограде 'Сколково' порядка $32,9 млн - примерно 1,9 млрд руб. по курсу ЦБ на 14 сентября 2017 г. Тендер на поставку и обслуживание 'железа' стартовал 31 августа 2017 г...
Дело за ускоренной визойЕвгений Касперский, сооснователь и генеральный директор 'Лаборатории Касперского', ответил согласием на приглашение комитета по вопросам науки, космоса и технологий при Палате представителей Конгресса США, сообщило агентство Reuters...
Маршрутизация по 'Яндексу' Компания 'Яндекс' вывела на рынок платформу для решения логистических задач - 'Яндекс.маршрутизацию'. Она предназначена для компаний, которые занимаются перевозками или доставкой заказов в городских условиях, поясняют в организации...