思科统一CDM平台曝特权账户和静态密码
思科旗下的统一CDM(通讯域名管理器)被曝包含一个默认无法修正的特权账户并使用静态暗码,攻击者可利用对平台进行远程攻击和入侵。
漏洞影响
思科旗下的统一CDM是思科托管协作解决方案(HCS)中的UC域名管理器。它使得思科统一通讯管理器、思科统一毗连、思科Jabber应用以及相关的手机和软件客户端具有自动化和管理功效。
4.4.5版本之前的思科统一通讯域名管理器平台软件都受此漏洞的影响,但是思科统一通讯域名管理器版本10.x 并未受影响,因为它并未包含受影响的平台软件。思科宁静报告中报告道:
“思科统一CDM平台软件中存在一个漏洞,该漏洞允许未经身份验证的远程攻击者以root权限用户进行登录,并可以完全控制受影响的系统。该漏洞之以是存在,是因为一个特权账户拥有了一个默认的静态暗码。在安装该软件时就创立了此账户,并且在不影响系统功效的前提下,无法修正或删除该账户,使用该账户通过SSH远程毗连到受影响的系统,攻击者就可以利用这个漏洞。一个利用代码可以允许攻击者完全控制整个受影响的系统。”
思科公司证实了该漏洞的存在。该漏洞利用起来非常简单,攻击者可以通过SSH远程毗连到统一CDM平台,并可以以具有root权限的账户身份登录,这使得攻击者有可能控制整个思科统一CDM平台,并能够盗取该平台上管理的全部数据。思科公司对该漏洞的严重性评级为10,即最高的宁静等级。
已公布漏洞补丁
思科曾经修复了思科统一CDM平台中的该漏洞,并公布了免费软件晋级来解决这个问题。这份宁静报告可以在这里下载到。
值得注意的是,将管理凭证或SSH密钥进行硬编码这类事件曾经不是第一次。就在几周前,思科的宁静专家在思科的很多宁静设置装备摆设中都发明存在一个默认的SSH密钥(Freebuf相关报道)。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
