Компания Cisco активно раздает патчи, устраняющие серьезную уязвимость в сетевых экранах линейки FirePOWER.
Эта брешь актуальна также для Snort, сетевой системы обнаружения вторжений с открытым исходным кодом, унаследованной Cisco вместе с Sourcefire.
Уязвимость CVE-2016-1345 оценена как high severity — высокой степени опасности. Патчи выпущены для ПО Cisco Firepower System версий 5.4.0.7 и выше, 5.4.1.6 и выше, а также 6.0.1 и выше. Данную уязвимость обнаружили исследователи из Check Point Security; информацией о публичных эксплойтах ни Check Point, ни Cisco не располагают. Со слов разработчика, CVE-2016-1345 затрагивает ряд программно-аппаратных комплексов и сервисов, в том числе некоторые продукты линейки FirePOWER и системы предотвращения вторжений (NGIPS) для Blue Coat и VMware.
Полный список уязвимых изделий представлен в информационном бюллетене Cisco. Пользователи также могут проверить уязвимость своего продукта, зайдя в настройки с консоли (Policies>Access Control>Malware and File); если политики диктуют операцию Block Files, Block Malware или Detect Files, система подвержена уязвимости. Snort-система, в свою очередь, уязвима, если исходный код скомпилирован с установленным флагом -enable-file-inspect («Включить препроцессор file inspect»).
Согласно бюллетеню Cisco, данная уязвимость вызвана некорректной валидацией входных данных в полях HTTP-заголовков; эксплуатация осуществляется путем отправки особого HTTP-запроса на уязвимую систему. В случае успеха атакующий получает возможность скрытно установить в систему вредоносное ПО.
Патч для Snort был включен в его новейшую версию, 2.9.8.2, доступную для скачивания на соответствующем сайте. С начала марта в общий список Cisco было совокупно добавлено около 30 уязвимостей, в том числе одна критическая и 14 высокой степени опасности.
