Производитель принес свои извинения за скрытые учетные записи, созданные для удаленной поддержки.
Barracuda Networks выпустила обновление безопасности, предназначенное для смягчения потенциального ущерба от бреши, позволяющей злоумышленникам получить доступ к некоторым сетевым устройствам компании при помощи учетных записей, изначально предназначенных для оказания удаленной технической поддержки. Производитель принес клиентам свои извинения за неудачные решения разработчиков, которые привели к данной проблеме, а также обязался в скором времени модернизировать систему удаленного оказания помощи.
Напомним, что около двух недель назад австрийские исследователи в области безопасности из SEC Consult обнаружили в приложениях Barracuda Networks ряд скрытых учетных записей. По их данным, стандартные настройки межсетевых экранов в данных устройствах позволяют получить удаленный доступ к системе с ряда публичных IP-адресов (часть из них принадлежит Barracuda Networks).
Вскоре после публикации отчета SEC Consult, разработчики выпустили обновление, запрещающее получение доступа с помощью скрытых учетных записей. Позже было опубликовано еще одно временное решение, удаляющее диапазон IP-адресов из стандартной конфигурации межсетевых экранов.
«Безопасность и функциональность удаленного доступа была разработана несколько лет назад, и не обновлялась с должной прилежностью по мере развития наших продуктов», - следует из уведомления Barracuda Networks.
Более подробно ознакомиться с уязвимостью в продуктах Barracuda можно здесь .
От классики до авангарда — наука во всех жанрах