Meerdere producten van netwerkgigant Cisco zijn kwetsbaar voor het ernstige beveiligingslek in Apache Struts waarvoor vorige week een update van de Apache Software Foundation verscheen. Struts is een opensourceframework voor het ontwikkelen van Java-webapplicaties. Via de kwetsbaarheid is het in het ergste geval mogelijk om applicaties te compromitteren die met Struts zijn gemaakt of servers over te nemen die Struts-applicaties draaien.

De omvangrijke datadiefstal bij de Amerikaanse kredietbeoordelaar Equifax, waar de gegevens van 143 miljoen Amerikanen werden gestolen, zou via een Struts-kwetsbaarheid hebben plaatsgevonden. Cisco heeft nu een onderzoek naar kwetsbare producten ingesteld. Voor een groot aantal producten loopt het onderzoek nog, maar in het geval van de Digital Media Manager, Hosted Collaboration Solution for Contact Center, Unified Contact Center Enterprise en Unified Intelligent Contact Management Enterprise is vastgesteld dat ze kwetsbaar zijn.

Ook de MXE 3500 Series Media Experience Engines en Network Performance Analysis zijn kwetsbaar. Op dit moment zijn er nog geen beveiligingsupdates beschikbaar en in het geval van de Digital Media Manager zullen die ook niet verschijnen, omdat het product niet meer wordt ondersteund. Cisco stelt dat er sprake van een ernstige kwetsbaarheid is en beheerders en organisaties krijgen dan ook het advies om de beschikbaarheid van updates in de gaten te houden, alsmede welke producten nog meer kwetsbaar blijken te zijn. Vorige week maakte Cisco zelf nog bekend dat servers met Struts-applicaties inmiddels actief worden aangevallen.