Cisco исправила опасные уязвимости в промышленных и корпоративных решениях
Проблемы позволяют выполнить произвольный код или вызвать отказ в обслуживании.
Компания Cisco устранила две опасные уязвимости, затрагивающие функцию обновления в программном пакете Cisco Industrial Network Director (IND) и сервис авторизации платформы Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS и Cisco Expressway). Cisco IND — решение для управления промышленными системами автоматизации, а Cisco Unified Presence представляет собой корпоративную платформу, обеспечивающую сбор информации о текущем состоянии доступности клиента и возможности подключения к клиенту альтернативными способами.
ПО Cisco IND содержит уязвимость (CVE-2019-1861), позволяющую авторизованному атакующему выполнить код на устройствах под управлением уязвимого программного обеспечения. Проблема связана с некорректной проверкой файлов, загружаемых в приложение. Уязвимость затрагивает версии Cisco IND до 1.6.0.
Решение Cisco Unified Presence подвержено уязвимости (CVE-2019-1845), с помощью которой неавторизованный злоумышленник может удаленно инициировать отказ в обслуживании в процессе авторизации пользователей на уязвимых серверах. Проблема вызвана недостаточным контролем определенных операций в памяти. Атакующий может проэксплуатировать баг путем отправки специально сформированных Extensible Messaging и Presence Protocol (XMPP) запросов авторизации на уязвимую систему. Успешная атака приведет к неожиданному перезапуску сервиса аутентификации и невозможности авторизоваться.
Проблема устранена в выпусках Cisco Expressway Series и Cisco TelePresence VCS X12.5.3 и выше.
В настоящее время случаев эксплуатации вышеуказанных уязвимостей не выявлено.