Hardcoded adgangskode i Cisco software kan bruges til at få styr på systemer

Cisco logo

Ciscos Prime Collaboration Provisioning (PCP) software har en hardkodet adgangskode, der kan bruges af en angriber til at få fuld kontrol over et system. Virksomheden siger endda, at der er ”formildende omstændigheder”, der kan gøre det muligt for en angriberen at hæve privilegier til rod.

Sårbarheden (CVE-2018-0141) påvirker version 11.6 af softwaren. En patch er blevet gjort tilgængelig, og brugerne opfordres til at installere det så hurtigt som muligt, da der ikke er andre løsninger.

Cisco forklarer, at problemet er løst i Prime Collaboration Provisioning Software Releases 12.1 og senere, og siger, at det blev fundet under "intern sikkerhedstest." Det er den anden kritiske sårbarhed, der blev fundet i virksomhedens software for nylig, og Cisco rådgivnings- og alarmside lister en række af mellemstore sårbarheder, der også blev afsløret i går.

I en sikkerhedsrådgivende offentliggjort på sin hjemmeside, siger Cisco om sårbarheden ved Prime Collaboration Provisioning:

En sårbarhed i Cisco Prime Collaboration Provisioning (PCP) -software kan give en ikke-godkendt, lokal angriber mulighed for at logge ind på det underliggende Linux-operativsystem.

Sårbarheden skyldes en hardkodet kontoadgangskode på systemet. En angriber kan udnytte denne sårbarhed ved at oprette forbindelse til det berørte system via Secure Shell (SSH) ved hjælp af de hårdkodede legitimationsoplysninger. En vellykket udnyttelse kunne give angriberen adgang til det underliggende operativsystem som en bruger med lav privilegium. Når der er opnået privilegier på lavt niveau, kunne angriberen hæve sig til rod privilegier og tage fuld kontrol over enheden.

Det fortsætter:

Bemærk: Selvom denne sårbarhed har et CommonSS for Vulnerability Scoring System (CVSS) Base score på 5.9, som normalt er tildelt en SIR (Security Impact Rating) af medium, er der formildende omstændigheder, der giver en angriber mulighed for at hæve privilegier til rod. Af disse grunde er SIR indstillet til kritisk.

Image credit: Diverse fotografering / Shutterstock

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.