Cisco призналась в использовании одинаковых ключей шифрования

Александр Панасенко 26 Июня 2015 - 12:47

Средства криптографической защиты информации

...

Компания Cisco призналась в использовании одинакового ключа шифрования SSH в трех различных продуктах — Cisco Web Security Virtual Appliance (WSAv) для защиты от веб-угроз, Email Security Virtual Appliance (ESAv) для защиты от вирусов, распространяемых посредством электронной почты, и Security Management Virtual Appliance (SMAv) для централизованного управления средствами защиты от интернет-угроз.

Образы указанных продуктов поставляются с предустановленным набором ключей алгоритма шифрования SSH, позволяющих получить доступ к данным, зашифрованным с их помощью. Так как во всех инсталляциях WSAv и ESAv используется один и тот же набор ключей SSH, хищение хакером закрытых ключей у одной компании позволит ему расшифровать данные в любом другом месте, где используется любой из указанных продуктов, пояснили в Cisco, пишет cnews.ru.

Получив доступ к ключам, хакер может получить доступ к системам с правами администратора. Злоумышленник также может проводить атаки типа «человек посередине» и, перехватывая трафик, изменять передаваемые между узлами данные, добавили в компании.

В случае с WSAv уязвимость содержится в образах как для виртуальных машин VMware, так и KVM. А в случае с ESAv и SMAv — только в образах для виртуальных машин VMware, уточнили в Cisco.

Для устранения уязвимости Cisco выпустила патч. Его необходимо установить везде, где указанные продукты были загружены до 25 июня 2015 г. В случае если аппаратно-программный комплекс был приобретен или программное решение было загружено после 25 июня, никаких действий предпринимать не нужно.

Патч (cisco-sa-20150625-ironport SSH Keys Vulnerability Fix) удаляет все предустановленные ключи SSH и проводит администратора через процесс полного устранения бреши, сообщили в компании. В Cisco добавили, что никакого другого способа обезопасить себя от найденной уязвимости, кроме установки патча, нет.

Cisco сообщила о новой уязвимости спустя неделю после того, как представители российской компании Digital Security рассказали об использовании одного и того же статического мастер-ключа в платформе SAP HANA, который в каждой инсталляции один и тот же во всем мире. Завладев этим ключом, хакер может получить доступ ко всем данным на платформе на любых серверах с SAP HANA. Получить ключ шифрования можно путем анализа программного кода и других мероприятий. Аналитики добавили, что никто из опрошенных заказчиков не меняет ключ шифрования, несмотря на рекомендацию вендора.

Напомним, что в 2014 г. Cisco оказалась в центре скандала, связанного с обнародованными бывшим системным администратором АНБ и ЦРУ Эдвардом Сноуденом (Edward Snowden) документами. В них говорилось, что американские спецслужбы устанавливают в коммутаторы Cisco жучки и затем восстанавливают заводскую упаковку, чтобы этого не было заметно. Речь шла только об устройствах, предназначенных для иностранных заказчиков.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Июня 2026 - 19:39

Корпорации Системы аутентификации Токены и устройства аутентификации Средства генерации одноразовых паролей (OTP)Системы управления аутентификацией Аладдин

«Аладдин» выпустил Aladdin 2FA без зависимости от App Store и Google Play

Российская компания «Аладдин» представила новую версию решения для двухфакторной аутентификации Aladdin 2FA, которая работает в формате Progressive Web Application (PWA). Главное новшество — теперь приложение не зависит от зарубежных магазинов приложений вроде App Store и Google Play.

Новый формат расширяет возможности JaCarta Authentication Server (JAS) — корпоративного сервера аутентификации, который используется для организации двухфакторной защиты в информационных системах и бизнес-приложениях.

В компании отмечают, что традиционная схема распространения мобильных приложений через магазины приложений несет определенные риски. Сервис может столкнуться с ограничениями, удалением из каталога или другими внешними факторами, которые влияют на доступность решения для пользователей.

В случае с PWA эти проблемы обходятся стороной. Приложение размещается непосредственно в инфраструктуре заказчика и запускается через веб-браузер. При этом для пользователя всё выглядит привычно: после установки на устройство Aladdin 2FA получает собственную иконку, работает как обычное мобильное приложение и поддерживает стандартные сценарии двухфакторной аутентификации.

Еще одно преимущество — универсальность. Решение работает на смартфонах, планшетах, ноутбуках и автоматизированных рабочих местах независимо от используемой аппаратной платформы.

Особый акцент разработчики делают на полном контроле со стороны организации. Все компоненты системы разворачиваются внутри инфраструктуры заказчика, а обновления распространяются централизованно вместе с серверной частью. Это избавляет ИТ-службы от необходимости публиковать новые версии через сторонние площадки и упрощает администрирование.

По словам менеджера по развитию бизнеса JMS/JAS/JIP компании «Аладдин» Станислава Винарского, новый формат делает двухфакторную аутентификацию по-настоящему независимой. Заказчики могут самостоятельно управлять размещением, обновлением и эксплуатацией решения, не полагаясь на зарубежные сервисы и внешние платформы.

На фоне растущего интереса российских компаний к технологическому суверенитету такой подход выглядит вполне логичным. Если раньше вопрос стоял в том, каким приложением пользоваться для двухфакторной аутентификации, то теперь всё чаще возникает другой: как сделать так, чтобы доступ к этому приложению не зависел от решений иностранных площадок.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!