Обнаружена уязвимость в Cisco Identity Services Engine


CiscoСпециалисты компании Cisco обнаружили уязвимости (CVE-2015-6266) в своем административном портале Identity Services Engine (ISE).

Cisco Identity Services Engine - платформа для управления процессами идентификации контроля доступа, позволяющая организациям обеспечить соблюдение нормативных требований и упростить управление работой сетевых сервисов.

Эксперты сообщают, что брешь связана с некорректной обработкой HTML-запросов. При ее эксплуатации атакующий может просматривать кастомные страницы, созданные системным администратором. Здесь опасность кроется в том, что данные страницы могут содержать важную информацию по вопросам обеспечения безопасности сети, которая находится под управлением ISE.

Уязвимость существует из-за отсутствия контроля доступа для загружаемых HTML-файлов. Чтобы проэксплуатировать брешь, достаточно создания HTTP-запрос с указанием на имя файла кастомизированной страницы.

В Cisco отмечают, что видели эксплоит для данной уязвимости. Не смотря на это, пока еще не известны случаи активной ее эксплуатации. На данный момент разработчик еще не выпустил корректирующее обновление для платформы. А пока этого не произошло специалисты настоятельно рекомендуют администраторам не размещать важную информацию на кастомных страницах, а тем более разрешать к ним доступ. Исключение составляют только доверенные пользователи.


Обновлено (31.08.2015 19:15)