Cisco спешно ищет уязвимости в своем ПО для веб-трансляций

Cisco Systems проводит экстренный аудит безопасности своих разработок, в которых используется фреймворк Apache Struts. На прошлой неделе были опубликованы сведения о четырех критических уязвимостях в Struts, которые могут угрожать безопасности продуктов Cisco.

Угроза с открытым кодом

Программисты Cisco экстренно проверяют все продукты компании на наличие уязвимостей, выявленных в пакете Apache Struts, активно используемом в разработках Cisco.

На данный момент Cisco изучает потенциальные угрозы в WebEx Meetings Server, Data Center Network Manager, Identity Services Engine, нескольких разработках серии Cisco Prime и других продуктах, используемых для веб-трансляций и видеосервисов.

Apache Struts представляет собой открытый MVC-фреймворк, написанный на Java; его часто используют для создания сложных систем, таких как серверное ПО и корпоративные приложения.

В продуктах Cisco для веб-трансляций подозревают уязвимости, связанные с Apache

Из 100 компаний, входящих в список Fortune 100, более 60 используют Struts в том или ином виде.

Одной критической уязвимости хватает

5 сентября 2017 г. одновременно с выпуском Apache Struts 2.5.13 компания Cisco опубликовала бюллетень безопасности, описывающий исправленные новым релизом уязвимости — CVE-2017-9804 и CVE-2017-9793. Спустя два дня было выпущено еще одно обновление Struts (2.3.34), которое исправляло уязвимость CVE-2017-12611.

Из всех четырех только CVE-2017-9805 считается критической, в том числе по причине простоты ее эксплуатации. Однако эксплойты существуют и для нее, и для CVE-2017-12611. Несколько фирм, занимающихся вопросами кибербезопасности, отметили, что атаки на уязвимость CVE-2017-9805 уже происходят.

В ближайшем будущем Cisco планирует выпустить патчи, которые позволят интегрировать обновления Struts в проприетарные разработки самой Cisco.

Пока гром не грянет?

«Полный аудит безопасности — процедура, которая должна проводиться регулярно, а не только по случаю обнаружения каких-либо уязвимостей, — считает Валерий Тюхменев, эксперт по безопасности компании SEC Consult Services. — Это довольно затратная процедура, но расходы на ликвидацию последствий серьезного взлома, особенно в корпоративных сетях, оказываются выше на несколько порядков».

Ранее в этом году эксперты обнаружили в Apache Struts уязвимость нулевого дня CVE-2017-5638, которую уже использовали в атаках на корпоративные серверы. Ходят упорные слухи, что катастрофическая утечка данных из бюро кредитных историй Equifax оказалась возможна именно благодаря этой уязвимости, хотя эти предположения пока ничем не подтверждены.

В текущий аудит безопасности Cisco данная уязвимость не входит.