Cisco призналась в использовании одинаковых ключей шифрования

Александр Панасенко 26 Июня 2015 - 12:47

Средства криптографической защиты информации

...

Компания Cisco призналась в использовании одинакового ключа шифрования SSH в трех различных продуктах — Cisco Web Security Virtual Appliance (WSAv) для защиты от веб-угроз, Email Security Virtual Appliance (ESAv) для защиты от вирусов, распространяемых посредством электронной почты, и Security Management Virtual Appliance (SMAv) для централизованного управления средствами защиты от интернет-угроз.

Образы указанных продуктов поставляются с предустановленным набором ключей алгоритма шифрования SSH, позволяющих получить доступ к данным, зашифрованным с их помощью. Так как во всех инсталляциях WSAv и ESAv используется один и тот же набор ключей SSH, хищение хакером закрытых ключей у одной компании позволит ему расшифровать данные в любом другом месте, где используется любой из указанных продуктов, пояснили в Cisco, пишет cnews.ru.

Получив доступ к ключам, хакер может получить доступ к системам с правами администратора. Злоумышленник также может проводить атаки типа «человек посередине» и, перехватывая трафик, изменять передаваемые между узлами данные, добавили в компании.

В случае с WSAv уязвимость содержится в образах как для виртуальных машин VMware, так и KVM. А в случае с ESAv и SMAv — только в образах для виртуальных машин VMware, уточнили в Cisco.

Для устранения уязвимости Cisco выпустила патч. Его необходимо установить везде, где указанные продукты были загружены до 25 июня 2015 г. В случае если аппаратно-программный комплекс был приобретен или программное решение было загружено после 25 июня, никаких действий предпринимать не нужно.

Патч (cisco-sa-20150625-ironport SSH Keys Vulnerability Fix) удаляет все предустановленные ключи SSH и проводит администратора через процесс полного устранения бреши, сообщили в компании. В Cisco добавили, что никакого другого способа обезопасить себя от найденной уязвимости, кроме установки патча, нет.

Cisco сообщила о новой уязвимости спустя неделю после того, как представители российской компании Digital Security рассказали об использовании одного и того же статического мастер-ключа в платформе SAP HANA, который в каждой инсталляции один и тот же во всем мире. Завладев этим ключом, хакер может получить доступ ко всем данным на платформе на любых серверах с SAP HANA. Получить ключ шифрования можно путем анализа программного кода и других мероприятий. Аналитики добавили, что никто из опрошенных заказчиков не меняет ключ шифрования, несмотря на рекомендацию вендора.

Напомним, что в 2014 г. Cisco оказалась в центре скандала, связанного с обнародованными бывшим системным администратором АНБ и ЦРУ Эдвардом Сноуденом (Edward Snowden) документами. В них говорилось, что американские спецслужбы устанавливают в коммутаторы Cisco жучки и затем восстанавливают заводскую упаковку, чтобы этого не было заметно. Речь шла только об устройствах, предназначенных для иностранных заказчиков.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 22 Января 2026 - 19:55

Корпорации Системы мониторинга событий безопасности SIEM-системы NGR Softlab

SIEM Alertix 3.9 получила автоматизацию реагирования на инциденты

Российский разработчик решений для информационной безопасности NGR Softlab выпустил крупное обновление своей SIEM-системы Alertix — версия 3.9 получила сразу несколько заметных изменений. Основной акцент в релизе сделали на автоматизацию реагирования при расследовании инцидентов, удобство работы аналитиков и навигацию внутри платформы.

Одно из ключевых нововведений — механизм реагирования на инциденты, построенный на обновлённом управлении скриптами.

Теперь сценарии можно напрямую связывать с правилами корреляции, и они автоматически отображаются в воркспейсах. При этом система умеет передавать параметры события прямо в сценарий: имя пользователя, домен, адреса источника и назначения и другие данные. На их основе можно, например, оперативно ограничить доступ к скомпрометированной учётной записи или хосту.

За счёт автоматической передачи данных реагирование становится быстрее и требует меньше ручных действий со стороны аналитика. Скрипты можно использовать не только для реагирования, но и для обработки и обогащения данных — как в воркспейсах, так и при работе с блокнотом аналитика.

Заметно обновилась и страница обзора. Интерфейс стал проще и понятнее, а поиск теперь работает не только по индексам, но и по обсерверам. Это позволяет анализировать конкретные источники данных без жёсткой привязки к заранее созданной структуре. В разделе «Обзор» появились вкладки с поддержкой датасетов, благодаря которым можно быстрее переходить к нужным фильтрам и наборам данных в рамках одного окна.

Дополнительные улучшения коснулись модуля инвентаризации. В нём теперь можно хранить сведения об операционных системах, программном и аппаратном обеспечении, что упрощает расследование инцидентов. Сбор этой информации доступен и с помощью агентов Alertix.

Изменения затронули и прикладную часть SIEM. В версии 3.9 появилась возможность обогащения событий данными от RST Cloud, которые обновляются ежедневно. Пользователи получают уже обработанную, нормализованную и отфильтрованную информацию об угрозах, что снижает уровень шума и уменьшает количество ложных срабатываний.

В NGR Softlab отмечают, что обновление ориентировано прежде всего на повседневную работу ИБ-команд: система не только собирает и анализирует события, но и помогает быстрее переходить к действиям, а новые инструменты навигации и инвентаризации упрощают расследование инцидентов и мониторинг инфраструктуры.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »