Критичеcкая уязвимость CVE-2016-6406 появилась в продукции компании из-за банальной халатности разработчиков. По словам представителей Cisco, проблема распространяется на физические и виртуальные версии Email Security Appliances (ESA), работающие под управлением IronPort AsyncOS. Баг позволяет атакующему получить удаленный доступ к уязвимой системе с root-привилегиями.
Проблема в том, что разработчики забыли удалить из кoда интерфейс, использовавшийся во время отладки и тестирования продукта, и в итоге он попал в релиз. Так как функция была предназначена для внутреннего использования, никакой защиты она не предусматривает, фактически атакующий может без аутентификации обратиться к уязвимому девайсу и получить полный доступ.
Уязвимость присутствует в следующих релизах:
- 9.1.2-023;
- 9.1.2-028;
- 9.1.2-036;
- 9.7.2-046;
- 9.7.2-047;
- 9.7-2-054;
- 10.0.0-124;
- 10.0.0-125.
Также представители компании сообщают, что уязвимость была обнаружена в ходе рутинной проверки, когда один из клиентов компании обратился в службу технической поддержки. Никаких признаков того, что проблему уже обнаружили и эксплуатируют хакеры, не найдено.