Cisco непреднамеренно оставила критическую уязвимость в своих устройствах безопасности, забыв удалить внутренний интерфейс для тестирования из версий программного обеспечения, предоставляемых клиентам.
Согласно Cisco, уязвимость затрагивает как физические, так и виртуальные устройства безопасности электронной почты под управлением программного обеспечения IronPort AsyncOS. Брешь позволяет удаленному злоумышленнику получить полный контроль над устройством с привилегиями суперпользователя.
Уязвимость отслеживается под именем и связана с отладкой интерфейса, установленного Cisco на этапе производства. Следовательно, злоумышленники могут подключиться к устройству без аутентификации со всеми вытекающими последствиями.
Брешь затрагивает следующие версии программного обеспечения: 9.1.2, 9.7.2 и 10.0.0. Хорошая новость заключается в том, что устройство перестает быть уязвимым, если оно было перезагружено несколько раз, так как проблемный интерфейс автоматически отключается после второй перезагрузки.
Cisco выпустили обновления для версий 9.1.2 и 9.7.2, патч для версии 10.0.0, как ожидается, станет доступен в начале октября. Также компания выпустила обновление для компонента Enrollment Client, предотвращающее эксплуатацию уязвимости независимо от того, какая версия программного обеспечения используется.
В качестве временного решения клиенты могут просто перегрузить свои устройства с помощью команды перезагрузки из интерфейса командной строки.
