Критическая уязвимость CVE-2016-6406 появилась в продукции компании из-за банальной халатности разработчиков. По словам представителей Cisco, проблема распространяется на физические и виртуальные версии Email Security Appliances (ESA), работающие под управлением IronPort AsyncOS. Баг позволяет атакующему получить удаленный доступ к уязвимой системе с root-привилегиями.
Проблема в том, что разработчики забыли удалить из кода интерфейс, использовавшийся во время отладки и тестирования продукта, и в итоге он попал в релиз. Так как функция была предназначена для внутреннего использования, никакой защиты она не предусматривает, фактически атакующий может без аутентификации обратиться к уязвимому девайсу и получить полный доступ.
Уязвимость присутствует в следующих релизах:
- 9.1.2-023;
- 9.1.2-028;
- 9.1.2-036;
- 9.7.2-046;
- 9.7.2-047;
- 9.7-2-054;
- 10.0.0-124;
- 10.0.0-125.
Для версий 9.1.2 и 9.7.2 уже был представлен апдейт, а патч для версии 10.0.0 ожидается в октябре 2016 года. Также компания выпустила Enrollment Client компонент, который предотвращает эксплуатацию уязвимости в любой версии продукта. Кроме того, пользователи могут защитить самостоятельно: для этого достаточно один раз лишь перезагрузить устройство, после чего отладочный интерфейс перестанет работать.
Также представители компании сообщают, что уязвимость была обнаружена в ходе рутинной проверки, когда один из клиентов компании обратился в службу технической поддержки. Никаких признаков того, что проблему уже обнаружили и эксплуатируют хакеры, не найдено.