Surprise
Cisco закрывает дыры WPA2, критический недостаток платформы облачных сервисов ( 1 фото )
Cisco выпустила обновления для устранения уязвимостей в широком спектре своих продуктов. Среди них — обновления, исправляющие уязвимости WPA2, которые могут быть использованы в недавно представленных атаках CRACK , а также критическая уязвимость, затрагивающая платформу облачных сервисов компании.
Недостатки WPA2
Cisco все еще работает над завершением списка своих продуктов, на которые влияет одна или несколько из десяти уязвимостей, затрагивающих WPA и WPA2, обнаруженных исследователем Мэти Ванхоф.
«Среди этих десяти уязвимостей только одна (CVE-2017-13082) может влиять на компоненты беспроводной инфраструктуры (например, точки доступа), остальные девять уязвимостей влияют только на клиентские устройства», — отметили в компании.
CVE-2017-13082 также является единственной уязвимостью, для которой существует обходной путь, поскольку она затрагивает только развертывания, которые поддерживают функцию быстрого перехода BSS (FT) и имеют ее включенную.
В остальном, Cisco уже выпустила обновления безопасности или находится в процессе. Список уязвимых устройств — маршрутизаторов, IP-телефонов, точек доступа, клиентов конечных точек и клиентского программного обеспечения — длинный , и клиенты должны внимательно его изучить и приступить к исправлению — если оно доступно.
На данный момент команда реагирования на инциденты безопасности продукта компании не знает ни о каких публичных объявлениях или злонамеренном использовании этих уязвимостей.
Уязвимость платформы облачных сервисов
Уязвимость была обнаружена Крисом Дэй, консультантом по безопасности MWR InfoSecurity, в веб-консоли Cisco Cloud Services Platform (CSP) 2100.
Ошибка может позволить аутентифицированному удаленному злоумышленнику взаимодействовать со службами или виртуальными машинами, работающими удаленно на уязвимом устройстве CSP.
«Уязвимость связана со слабостью генерации определенных механизмов аутентификации в URL-адресе веб-консоли. Злоумышленник может воспользоваться этой уязвимостью, перейдя по одному из URL-адресов размещенных виртуальных машин в Cisco CSP и просмотрев конкретные шаблоны, которые управляют механизмами веб-приложения для контроля аутентификации. Эксплойт может позволить злоумышленнику получить доступ к определенной виртуальной машине в CSP, что приведет к полной потере конфиденциальности, целостности и доступности системы », — указала компания .
Для устранения этой ошибки не существует обходного пути, поэтому пользователям обязательно рекомендуется загрузить и внедрить Cisco Cloud Services Platform Release 2.2.3 или более позднюю версию.
Эта уязвимость также, по сведениям Cisco PSIRT, в настоящее время активно не используется.
ОБНОВЛЕНИЕ (20 октября 2017 г.):
Cisco обновила свои рекомендации относительно слабых мест WPA2, заявив, что «дополнительное тестирование, проведенное 20 октября 2017 г., привело к обнаружению того, что программное обеспечение исправляет CVE-2017-13082 на точках доступа Cisco, работающих под управлением Cisco. Программное обеспечение IOS может не обеспечивать полную защиту ».
Они работают над новыми, полными исправлениями для этих устройств, но не сказали, когда новые исправления могут быть готовы.
Недостатки WPA2
Cisco все еще работает над завершением списка своих продуктов, на которые влияет одна или несколько из десяти уязвимостей, затрагивающих WPA и WPA2, обнаруженных исследователем Мэти Ванхоф.
«Среди этих десяти уязвимостей только одна (CVE-2017-13082) может влиять на компоненты беспроводной инфраструктуры (например, точки доступа), остальные девять уязвимостей влияют только на клиентские устройства», — отметили в компании.
CVE-2017-13082 также является единственной уязвимостью, для которой существует обходной путь, поскольку она затрагивает только развертывания, которые поддерживают функцию быстрого перехода BSS (FT) и имеют ее включенную.
В остальном, Cisco уже выпустила обновления безопасности или находится в процессе. Список уязвимых устройств — маршрутизаторов, IP-телефонов, точек доступа, клиентов конечных точек и клиентского программного обеспечения — длинный , и клиенты должны внимательно его изучить и приступить к исправлению — если оно доступно.
На данный момент команда реагирования на инциденты безопасности продукта компании не знает ни о каких публичных объявлениях или злонамеренном использовании этих уязвимостей.
Уязвимость платформы облачных сервисов
Уязвимость была обнаружена Крисом Дэй, консультантом по безопасности MWR InfoSecurity, в веб-консоли Cisco Cloud Services Platform (CSP) 2100.
Ошибка может позволить аутентифицированному удаленному злоумышленнику взаимодействовать со службами или виртуальными машинами, работающими удаленно на уязвимом устройстве CSP.
«Уязвимость связана со слабостью генерации определенных механизмов аутентификации в URL-адресе веб-консоли. Злоумышленник может воспользоваться этой уязвимостью, перейдя по одному из URL-адресов размещенных виртуальных машин в Cisco CSP и просмотрев конкретные шаблоны, которые управляют механизмами веб-приложения для контроля аутентификации. Эксплойт может позволить злоумышленнику получить доступ к определенной виртуальной машине в CSP, что приведет к полной потере конфиденциальности, целостности и доступности системы », — указала компания .
Для устранения этой ошибки не существует обходного пути, поэтому пользователям обязательно рекомендуется загрузить и внедрить Cisco Cloud Services Platform Release 2.2.3 или более позднюю версию.
Эта уязвимость также, по сведениям Cisco PSIRT, в настоящее время активно не используется.
ОБНОВЛЕНИЕ (20 октября 2017 г.):
Cisco обновила свои рекомендации относительно слабых мест WPA2, заявив, что «дополнительное тестирование, проведенное 20 октября 2017 г., привело к обнаружению того, что программное обеспечение исправляет CVE-2017-13082 на точках доступа Cisco, работающих под управлением Cisco. Программное обеспечение IOS может не обеспечивать полную защиту ».
Они работают над новыми, полными исправлениями для этих устройств, но не сказали, когда новые исправления могут быть готовы.
Взято: Тут
87