Cisco пытается обнаружить «дыры» в защите приложения для веб-трансляций

Компания Cisco Systems объявила о проверке всех своих продуктов, которые включают функции из фреймворка Apache Struts. Несколько дней назад в нем обнаружили четыре критические уязвимости, которые могут привести к утечке данных в приложениях Cisco.

Открытый код таит в себе опасности

Специалисты Cisco начали срочную проверку уже выпущенных приложений на наличие «дыр» в безопасности. Сами приложения гарантированно не содержат уязвимостей, но в используемом при разработке фреймворке Apache Struts недавно обнаружено несколько опасных «дыр».

По сообщениям компании, программисты тщательно изучают код в продуктах WebEx Meetings Server, Data Center Network Manager, Identity Services Engine. Опасности могут подвергнуться приложения Cisco Prime различных версий, а также программные пакеты, которые используются для организации видеотрансляций через интернет.

Apache Struts является системой с открытым Java-кодом, который многие разработчики включают в состав своих сложных продуктов, функционирующих по принципу клиент-сервер и прочих критических бизнес-приложений. Из-за обнаруженных в нем уязвимостей в разряд «проблемных» попали и пакеты Cisco для организации интернет-трансляций. 

Известно, что более 60% компаний из списка Fortune 100 задействуют Struts в своих разработках.

Достаточно одной «дырки» в безопасности

В начале сентября вышла очередная версия Apache Struts 2.5.13 и практически сразу Cisco сообщила о закрытии нескольких уязвимостей новой версией. Через несколько дней была обнаружена очередная проблема безопасности, исправление которой вошло в релиз Struts 2.3.34.  

Среди всех обнаруженных проблем только одна может представлять настоящую угрозу из-за несложности использования. Для всех проблем безопасности уже выпущены соответствующие патчи. Однако буквально через несколько дней были замечены атаки, направленные на использование уязвимости CVE-2017-9805. 

В 2017 году Cisco собирается включить обновления и патчи Struts в инсталляции своих продуктов, чтобы гарантированно обезопасить пользователей.

Постоянный аудит безопасности

Эксперт-безопасник компании SEC Consult Services Валерий Тюхменев высказал мнение, что постоянный аудит безопасности должен стать нормой в компаниях-разработчиках ПО. Конечно, эта процедура является довольно затратной, но гораздо большие убытки компания и ее клиенты понесут при обнаружении и использовании критических уязвимостей в программных продуктах хакерами. По различным оценкам, потери оказываются больше минимум на порядок.

В конце весны 2017 года в том же пакете Apache Struts была обнаружена уязвимость нулевого дня, которую мгновенно начали использовать взломщики при организации атак. С большой долей вероятности именно эта уязвимость повинна в утечке данных из межконтинентального кредитного бюро Equifax. Официального заявления по этому поводу еще нет.

Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.