Questa volta è stata trovata una password hardcoded di gravità 9,8/10 nel software di videosorveglianza di Cisco.
Sicurezza
- 8 abitudini dei lavoratori remoti altamente sicuri
- Come trovare e rimuovere spyware dal telefono
- I migliori servizi VPN: come si confrontano i primi 5?
- Come scoprire se sei coinvolto in una violazione dei dati e cosa fare dopo
Cisco ha fornito una patch per il suo software Video Surveillance Manager per cancellare le credenziali predefinite codificate per l'account root.
Gli amministratori responsabili degli apparecchi che eseguono il software di sorveglianza Cisco dovrebbero applicare urgentemente patch al difetto, che ha un punteggio Common Vulnerability Scoring System (CVSS) versione 3 di 9,8 su un possibile 10.
La falla consentirebbe a un utente malintenzionato di controllare un sistema interessato come utente root se scoprisse le credenziali predefinite.
"La vulnerabilità è dovuta alla presenza di credenziali utente statiche, predefinite e non documentate per l'account root del software interessato su determinati sistemi", osserva Cisco nel suo avviso.
"Un utente malintenzionato potrebbe sfruttare questa vulnerabilità utilizzando l'account per accedere a un sistema interessato. Un exploit riuscito potrebbe consentire all'aggressore di accedere al sistema interessato ed eseguire comandi arbitrari come utente root."
Il difetto, segnalato come CVE-2018-15427, influisce sulle istanze preinstallate delle versioni software Cisco Video Surveillance Manager (VSM) 7.10, 7.11 e 7.11.1 su quattro dispositivi UCS (Connected Safety and Security Unified Computing System) dell'azienda.
I modelli interessati includono CPS-UCSM4-1RU-K9, CPS-UCSM4-2RU-K9, KIN-UCSM5-1RU-K9 e KIN-UCSM5-2RU-K9.
Cisco ha affermato che il difetto esiste perché non è riuscita a disabilitare l'account root e le credenziali predefinite prima di installare il software. Le credenziali dell'utente non sono state divulgate pubblicamente, secondo Cisco, che afferma di aver riscontrato il problema durante i test interni.
La correzione segue un aggiornamento per un difetto di credenziale statico simile che colpisce la variante Linux del sistema operativo di rete di Cisco, IOS XE.
Cisco inizialmente ha risolto il problema a marzo chiarito la settimana scorsa che ha interessato anche il software IOS XE in esecuzione sul suo Integrated Services Virtual Router (ISRv).
Quest'anno l'azienda ha rimosso diversi bug relativi alle password codificate dal suo software, incluso uno si trova nel Centro Architettura di rete digitale (DNA)., E Software Cisco Prime Collaboration Provisioning (PCP).
Copertura precedente e correlata
Avviso di difetto critico Cisco: questi bug di gravità 10/10 devono essere corretti ora
Il software Cisco per la gestione delle reti definite dal software presenta tre vulnerabilità critiche e sfruttabili da remoto.
Cisco corregge i difetti critici del Nexus: i tuoi switch sono vulnerabili?
Dovrai consultare gli avvisi di Cisco per capire se il software che stai utilizzando è vulnerabile o già risolto.
Cisco: aggiorna ora per correggere bug critici relativi alle password codificate e difetti di esecuzione del codice in modalità remota
Cisco corregge due gravi bug di autenticazione e un difetto di deserializzazione Java.
Cisco avvisa i clienti di difetti critici di sicurezza, la consulenza include Apache Struts
Il massiccio aggiornamento di sicurezza include una patch per il bug Apache recentemente rivelato, ma non tutti i prodotti verranno ancora risolti.
Cisco aggiorna la piattaforma di routing edge ASR 9000 per portare gli utenti nel mondo multicloud 5G TechRepublic
Un nuovo software di automazione, un nuovo processore di rete e un nuovo sistema operativo aiuteranno i clienti Cisco a effettuare la transizione verso la rete di prossima generazione.
Apple e Cisco uniscono le loro forze per proteggere le aziende dai rischi informatici CNET
Apple e Cisco uniscono le forze per proteggere le aziende dal rischio di minacce informatiche.