Компания Cisco удалила из своих продуктов бэкдор

Александр Панасенко 15 Января 2016 - 12:31

Общее

Cisco

Вредоносные программы

Бэкдоры

Патчи

...

Похоже, компания Cisco не зря инициировала в декабре 2015 года аудит собственной продукции. Учитывая недавно произошедшую с компанией Juniper Networks неприятность, сегодня иметь бэкдоры в своих продуктах – непопулярная тема.

Специалисты Cisco отчитались об устранении четырех уязвимостей, две из которых заслужили 10 баллов из 10 по шкале опасности, а одна и вовсе оказалась самым настоящим бэкдором.

Уязвимость CVE-2015-6336 затрагивает серию продуктов Aironet 1800 (а именно точки доступа 1830e, 1830i, 1850e и 1850i). На самом деле, это сложно назвать «уязвимостью», так как устройства серии содержали самый настоящий бэкдор: жестко закодированные логин и пароль, с помощью которых можно было получить доступ к оборудованию. Хотя компания Cisco уверяет, что использование этих учетных данных не давало привилегий администратора, злоумышленники могли повысить права в системе самостоятельно, ведь главное у них уже было – доступ, передает xakep.ru.

Теперь Cisco удалила этот скрытый аккаунт из прошивки устройств Aironet 1800x. Разумеется, бэкдор попал в код не случайно. В отличие от случая Juniper Networks, данный бэкдор – дело рук самих разработчиков, а не посторонних лиц.

Также линейка Aironet 1800 получила исправление CVE-2015-6320. Уязвимость позволяла осуществить DoS-атаку на устройство.

Помимо бэкдора Cisco исправила еще два бага, и они оба получили статус критических по шкале CVSS.

Уязвимость CVE-2015-6314 нашли в программе Cisco Wireless LAN Controller версий 7.6.120.0 и старше, 8.0 и старше, а также 8.1 и старше. Баг позволял злоумышленнику без аутентификации получить доступ к устройству, на котором работает уязвимое ПО, и его конфигурации.

Не менее серьезную проблему (CVE-2015-6323) обнаружили в админке Cisco Identity Services Engine. Баг наличествует в версиях 1.1 и старше, 1.2.0 до патча 17, 1.2.1 до патча 8, 1.3 до патча 5, а также в версии 1.4 до патча 4. Уязвимость тоже позволяла атакующему без авторизации получить доступ к устройству и добраться до его настроек.

Представители компании отмечают, что успешная эксплуатация любой из перечисленных брешей приведет к полной компрометации устройства. Просто подрегулировать настройки и, закрыв пару портов, обезопасить себя от атак, не выйдет. Решить эти проблемы поможет только обновление.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 17 Июля 2025 - 19:15

Соответствие законодательству РФ Домашние пользователи Государство

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.