Cisco исправила опасные уязвимости в промышленных и корпоративных решениях

Компания Cisco устранила две опасные уязвимости, затрагивающие функцию обновления в программном пакете Cisco Industrial Network Director (IND) и сервис авторизации платформы Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS и Cisco Expressway).

Cisco IND — решение для управления промышленными системами автоматизации, а Cisco Unified Presence представляет собой корпоративную платформу, обеспечивающую сбор информации о текущем состоянии доступности клиента и возможности подключения к клиенту альтернативными способами.

ПО Cisco IND содержит уязвимость (CVE-2019-1861), позволяющую авторизованному атакующему выполнить код на устройствах под управлением уязвимого программного обеспечения. Проблема связана с некорректной проверкой файлов, загружаемых в приложение. Уязвимость затрагивает версии Cisco IND до 1.6.0.

Решение Cisco Unified Presence подвержено уязвимости (CVE-2019-1845), с помощью которой неавторизованный злоумышленник может удаленно инициировать отказ в обслуживании в процессе авторизации пользователей на уязвимых серверах. Проблема вызвана недостаточным контролем определенных операций в памяти. Атакующий может проэксплуатировать баг путем отправки специально сформированных Extensible Messaging и Presence Protocol (XMPP) запросов авторизации на уязвимую систему. Успешная атака приведет к неожиданному перезапуску сервиса аутентификации и невозможности авторизоваться.

Проблема устранена в выпусках Cisco Expressway Series и Cisco TelePresence VCS X12.5.3 и выше.

В настоящее время случаев эксплуатации вышеуказанных уязвимостей не выявлено.

Источник: Securitylab