Продукты Cisco уязвимы к KRACK-атакам

На прошлой неделе Cisco объявила во всеуслышание, что многие ее беспроводные продукты уязвимы к недавно опубликованным атакам с переустановкой ключа (KRACK). По словам разработчика, патчи для этих устройств еще не готовы, а для устаревших моделей вообще не будут выпущены.

«Компоненты беспроводной инфраструктуры (например, точки доступа) затрагивает лишь одна из десяти уязвимостей (CVE-2017-13082), девять остальных характерны лишь для клиентских устройств», — сказано в бюллетене Cisco. В компании этим уязвимостям присвоили высокую степень опасности.

В бюллетене также приведен список из 69 продуктов, подверженных тем или иным KRACK-уязвимостям. Еще 25 находятся на стадии тестирования.

«Обновления для уязвимых программных продуктов будут публиковаться по мере готовности патчей, и информацию о них можно будет получить через Cisco Bug Search Tool (сервис поиска по багам)», — обещает Cisco. Альтернативные меры защиты разработчик предлагает лишь для одной KRACK-уязвимости — CVE-2017-13082.

Двумя днями позже вышел патч для критической уязвимости в платформе виртуализации Cloud Services Platform 2100. Эта платформа поддерживает множество сетевых сервисов Cisco — коммутаторов, программ управления сетью, а также служб сторонних вендоров, таких как брандмауэры приложений. Данная брешь (CVE-2017-12251), согласно бюллетеню, крылась в веб-консоли и позволяла удаленному злоумышленнику в обход аутентификации взаимодействовать с сервисами, работающими на CSP-устройстве.

«Атакующий мог воспользоваться этой уязвимостью, отыскав URL одного из виртуальных узлов в CSP Cisco и просмотрев шаблоны, по которым создаются механизмы веб-приложений для управления аутентификацией», — пишет Cisco. Эксплойт позволяет получить доступ к конкретной виртуальной машине на CSP-платформе; по словам разработчика, это грозит потерей конфиденциальности, целостности и доступности всей системы.

Уязвимость CVE-2017-12251обнаружил Крис Дей (Chris Day), старший специалист по ИБ в MWR InfoSecurity. Соответствующий патч уже доступен и предназначается для CSP 2100 версий 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 и 2.2.2.

Одновременно Cisco выпустила патчи для 15 других брешей; трем из них присвоен статус «высокой степени опасности».

• Сборочка от ZorroJan - Полный фарш
• Шпионские обновления Windows 7, 8 и 8.1- блокируем или удаляем
• Ника RF2001 - Наградная атрибутика - О-Ника - Кубки Медали Награды
• Oscam эмулятор и возможность раздачи на другие ресиверы
• Дизайн сайдбаров в резиновой теме F2
• The Battle for Middle Earth 2 не запускается и вылетает
• Как распечатывать тексты на принтере? Пошаговая инструкция для печати текстов на принтере
• Как обновить Adobe Flash Player для Яндекс Браузера
• Установить Windows 10 с флешки. Инструкция для чайников
• Biglion :: Павловский Парк, Базы отдыха - отзывы посетителей, адрес, телефоны, схема проезда на сайте Biglion