Компания Cisco удалила из своих продуктов бэкдор

Александр Панасенко 15 Января 2016 - 12:31

Общее

Cisco

Вредоносные программы

Бэкдоры

Патчи

...

Похоже, компания Cisco не зря инициировала в декабре 2015 года аудит собственной продукции. Учитывая недавно произошедшую с компанией Juniper Networks неприятность, сегодня иметь бэкдоры в своих продуктах – непопулярная тема.

Специалисты Cisco отчитались об устранении четырех уязвимостей, две из которых заслужили 10 баллов из 10 по шкале опасности, а одна и вовсе оказалась самым настоящим бэкдором.

Уязвимость CVE-2015-6336 затрагивает серию продуктов Aironet 1800 (а именно точки доступа 1830e, 1830i, 1850e и 1850i). На самом деле, это сложно назвать «уязвимостью», так как устройства серии содержали самый настоящий бэкдор: жестко закодированные логин и пароль, с помощью которых можно было получить доступ к оборудованию. Хотя компания Cisco уверяет, что использование этих учетных данных не давало привилегий администратора, злоумышленники могли повысить права в системе самостоятельно, ведь главное у них уже было – доступ, передает xakep.ru.

Теперь Cisco удалила этот скрытый аккаунт из прошивки устройств Aironet 1800x. Разумеется, бэкдор попал в код не случайно. В отличие от случая Juniper Networks, данный бэкдор – дело рук самих разработчиков, а не посторонних лиц.

Также линейка Aironet 1800 получила исправление CVE-2015-6320. Уязвимость позволяла осуществить DoS-атаку на устройство.

Помимо бэкдора Cisco исправила еще два бага, и они оба получили статус критических по шкале CVSS.

Уязвимость CVE-2015-6314 нашли в программе Cisco Wireless LAN Controller версий 7.6.120.0 и старше, 8.0 и старше, а также 8.1 и старше. Баг позволял злоумышленнику без аутентификации получить доступ к устройству, на котором работает уязвимое ПО, и его конфигурации.

Не менее серьезную проблему (CVE-2015-6323) обнаружили в админке Cisco Identity Services Engine. Баг наличествует в версиях 1.1 и старше, 1.2.0 до патча 17, 1.2.1 до патча 8, 1.3 до патча 5, а также в версии 1.4 до патча 4. Уязвимость тоже позволяла атакующему без авторизации получить доступ к устройству и добраться до его настроек.

Представители компании отмечают, что успешная эксплуатация любой из перечисленных брешей приведет к полной компрометации устройства. Просто подрегулировать настройки и, закрыв пару портов, обезопасить себя от атак, не выйдет. Решить эти проблемы поможет только обновление.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Июля 2025 - 15:29

Домашние пользователи Корпорации Системы аутентификации Passkey (ключ доступа)Биометрические системы аутентификации Парольная защита (пароли) Яндекс

94% пользователей Яндекс ID перешли на вход без пароля

Сервис Яндекс ID существует уже 25 лет. Сейчас это не просто способ авторизации, а единый аккаунт, с которым люди входят в разные сервисы. Ежедневно через него активны более 136 миллионов аккаунтов — это на 15% больше, чем год назад. Главное изменение последних лет — резкий рост беспарольной аутентификации.

В 2023 году такие способы использовали 46% пользователей, в 2024 — уже 68%, а в 2025 — 94%. Люди всё чаще отказываются от паролей в пользу одноразовых кодов, отпечатков пальцев или распознавания лица. Например, вход по биометрии за год подключили более 16 миллионов человек.

Наиболее популярный способ — код из СМС (43% пользователей), за ним идёт пуш-уведомление (37%), ещё 7% используют логин и код из пуша. В зависимости от возраста и привычек предпочтения отличаются: старшие пользователи чаще выбирают СМС, молодёжь — пуши.

Мужчины чаще используют биометрию и QR-коды, женщины — вход по номеру телефона. Всё это снижает нагрузку на память (не нужно запоминать пароли) и повышает безопасность.

При этом сама система авторизации активно защищается: только в прошлом году было предотвращено 4,4 млн попыток входа с украденными паролями.

Напомним, в октябре прошлого года Яндекс ID подтвердил соответствие Отраслевому стандарту защиты данных. Не так давно мы также писали, что в Яндекс ID появилась возможность проверить и повысить защиту аккаунта.

В феврале 2024-го Яндекс ID добавил аутентификацию с помощью сканирования отпечатка пальца или лица.