Компания Cisco Systems согласилась выплатить $8,6 млн в рамках урегулирования судебного иска, поданного против компании федеральным правительством США.

В 2011 году Cisco Systems была уличена в умышленной продаже правительственным организациям США заведомо уязвимых систем видеонаблюдения. Согласно судебным документам, в сентябре 2008 года бывший подрядчик компании Джеймс Гленн (James Glenn) вместе с коллегой обнаружил в ПО Cisco Video Surveillance Manager (VSM) множественные уязвимости, о которых сообщил производителю в октябре того же года.

Система VSM позволяет управлять сразу несколькими расположенными в разных местах видеокамерами через централизованный сервер, доступ к которому можно получать удаленно. Обнаруженные исследователями уязвимости позволяли удаленному неавторизованному злоумышленнику получить постоянный доступ к системам видеонаблюдения и соответственно ко всем видеозаписям и хранящимся в системе данным, а также модифицировать видео и обходить механизмы безопасности.

В 2010 году Гленн понял, что обнаруженные ими уязвимости так и не были исправлены. Более того, производитель решил не сообщать никому об их наличии в продукте. Исследователь предупредил об этом власти, которые в свою очередь подали на Cisco Systems в суд, обвинив компанию в мошенничестве.

Производитель поставлял непосредственно или через посредников ПО VSM полицейским управлениям, школам, судам, муниципальным учреждениям, аэропортам и правительственным организациям США, в том числе Министерству внутренних дел, Секретной службе, Военно-морским силам, Военно-воздушным силам и пр.

После того, как был подан иск, компания опубликовала уязвимости (CVE-2013-3429, CVE-2013-3430, CVE-2013-3431) и выпустила исправленную версию VSM. В рамках сделки Cisco Systems также согласилась выплатить $8,6 млн – $1,6 млн получит Гленн и его адвокат, остальные $7 млн отойдут федеральному правительству и 16 штатам, купившим уязвимый продукт.

https://www.securitylab.ru/news/500250.php