CISCO ISSUES NEW PATCHES FOR CRITICAL FIREWALL SOFTWARE VULNERABILITY

by Christopher Kanaracus em 06/02/2018 no site Threapost

Cisco has released new patches for a critical vulnerability in its Adaptive Security Appliance software after further investigation revealed additional attack vectors.

The company first announced the vulnerability, CVE-2018-0101, on Jan. 29. It received a Common Vulnerability Scoring System base score of 10.0, the highest possible, and was initially discovered by Cedric Halbronn from NCC Group.

“After broadening the investigation, Cisco engineers found other attack vectors and features that are affected by this vulnerability that were not originally identified by the NCC Group and subsequently updated the security advisory,” said Omar Santos, principal engineer with Cisco’s product security incident response team, in a blog post. Cisco also found additional denial of service conditions. A “new comprehensive fix” is now available, Santos said.

The vulnerability is linked to ASA’s XML parser. An attacker could exploit it by crafting a malicious XML file and sending it through a vulnerable interface, whereupon they could “execute arbitrary code and obtain full control of the system, cause a reload of the affected device or stop processing of incoming VPN authentication requests,” Cisco said in its security advisory. Secure Socket Layer (SSL) services or IKEv2 Remote Access VPN services must be enabled on an interface for the vulnerability to be exploited.

There are no known incidents of the vulnerability being exploited, but Cisco is urging customers to apply the updated patches. It now affects 15 products that run ASA software, including a wide range of Firepower Security Appliance versions, ASA 5500-X Series Next-Generation Firewalls and ASA 5500 Series Adaptive Security Appliances.

Cisco has come under fire for its handling of the situation. Sysadmin Colin Edwards, who blogs frequently on network and security issues, said far too much time had passed–80 days, by his measure–between when Cisco released its first patches for the vulnerability and when it published the security advisory.

“I can understand some of the challenges that Cisco and their peers are up against,” Edwards wrote. “[But] eighty days is a long time, and it’s a particularly long time for a vulnerability with a CVSS Score of 10 that affects devices that are usually directly connected to the Internet.”

“Yes, customers need to take responsibility for installing patches in a timely manner,” he added. “However, customers also need to have access to adequate information so that they can appropriately prioritize among myriad workloads.” The Jan. 29 advisory provided information that was “critical for customers to have at their disposal,” Edwards wrote.

Cisco published its security advisory immediately after finding out there was public knowledge of the vulnerability, which falls in line with its disclosure policy, Santos wrote: “Cisco recognizes the technology vendor’s role in protecting customers, and we won’t shy away from our responsibility to constantly be transparent with up-to-date information.”

Com fábrica de semicondutores, Qualcomm quer impulsionar IoT no Brasil

Por Guilherme Borini em 05/02/2018 no site Computerworld

A Qualcomm anunciou nesta segunda-feira (5/2) mais um passo do seu projeto de fabricação de semicondutores no Brasil. A empresa assinou uma joint venture com a taiwanesa USI para instalação de uma fábrica de semicondutores para smartphonese dispositivos de internet das coisas (IoT) no País. A previsão de investimento é de US$ 200 milhões em cinco anos, em projeto que conta com apoio do Governo Federal e do Estado de São Paulo.

A fábrica, que ficará sob responsabilidade de produção da USI, será instalada na região de Campinas (SP), onde as empresas já buscam um endereço. Segundo Rafael Steinhauser, presidente da Qualcomm para América Latina, a ideia é se instalar em um prédio já construído e transformá-lo para receber a produção. A companhia projeta 2020 como ano de início da fabricação. A Qualcomm será responsável pelo desenvolvimento e desenho dos módulos.

"É um projeto que começou em 2012 com um acordo de colaboração para estimular a inclusão digital via smpartphones. Seguimos em 2014 com um novo acordo para avaliar a possibilidade de inserir o Brasil na cadeia de semicondutores. Surgiu a ideia de trazer para o Brasil o projeto com um novo tipo de componente e o governo nos estimulou e escolheu dois parceiros importantes para isso", destacou Steinhauser, durante conversa com jornalistas antes da assinatura do acordo, no Palácio dos Bandeirantes, em São Paulo.

Além dos representantes da Qualcomm e USI, a cerimônia contou com participação do ministro da Ciência, Tecnologia, Inovações e Comunicações Gilberto Kassab, bem como de Geraldo Alckmin, governador do Estado de São Paulo.

Componente inédito

O centro de desenvolvimento e fabricação, como as empresas denominam o espaço, abrigará a produção de um componente inédito. Trata-se do "SiP", linha de módulos system in package com chipsets, que incluirá em apenas um componente frequências de rádio e componentes digitais para smartphones e dispositivos de IoT. Todos os componentes, como memória e gps, estarão "encapsulados" em uma única solução e, com isso, fabricantes poderão utilizar o produto com mais facilidade e agilidade para desensolvimento de dispositivos. Saiba mais: Entenda com a SONDA os desafios da segurança na Internet das Coisas Patrocinado 

O Brasil será o primeiro país a fabricar o componente, mas, por enquanto, o foco é apenas no mercado nacional. No entanto, Cristiano Amon, presidente global da Qualcomm, vislumbra potencial para exportação.

Segundo a empresa, os produtos são desenvolvidos para simplificar dramaticamente os processos de engenharia e fabricação, além de poupar custos e tempo de OEMs e fabricantes de dispositivos de IoT. Desenvolver os componentes no Brasil pode também permitir a redução do déficit de importação de circuitos integrados ao expandir e diversificar a produção brasileira de semicondutores.

"Potencial de exportação existe. Depende de criar modelo de negócio que tenha escala no mercado brasileiro. Nao tenho dúvida que, se a solução atingir o mercado brasileiro, tem potencial para exportação", destacou Amon.

Foco em IoT

A Qualcomm afirma que o módulo simplifica os processos de design e fabricação, o que, consequentemente, reduz o prazo de comercialização. "Não precisa de tanta complexidade no desenho e fabricação", pontuou Steinhauser.

O foco é levar a tecnologia para além dos smartphones, seguindo uma tendência global de dispositivos conectados. Com a primeira "missão" cumprida, auxiliando no desenvolvimento de poderosos smartphones, Amon diz que o próximo passo da companhia está totalmente ligado à IoT e dispositivos conectados. "É essa nossa visão de 5G, que é simplesmente levar conectividade para todas as coisas com velocidade e confiabilidade. Por isso falamos que a transformação do 4G para o 5G será como como foi a eletricidade", afirmou.

Apostando na facilidade de alcance do chip, a aposta é atingir todas as indústrias com IoT. "Muitas das indústrias (em diversos setores) não têm a capacitação de uma Samsung ou Motorola, por exemplo. Por isso entregar uma solução já integrada, como o SiP, ajuda a trazer competitividade e agilidade para adoção", comentou Amon.

Empregos

Outra contribuição que o projeto pretende dar ao Brasil é na criação de empregos. A expectativa é que a fábrica tenha de 800 a 1 mil funcionários.

Mas mais do que criar empregos, o foco é preparar o País para ser de fato uma potência em semicondutores. Para isso, mercados fortes como China e Taiwan serão essenciais.

"Traremos pessoas de fora para capacitação e também levaremos pessoas daqui para mercados como Taiwan e China, para voltarem qualificados. Temos pouca mão de obra com essa experiência no Brasil. Precisaremos fazer essa colaboração com o exterior. Esse é um passo importante, mas apenas o primeiro. O Brasil precisa desenvolver know how e esperamos que esse projeto seja sucesso no mercado nacional", completou Amon.