今回は、Cisco のビデオ監視ソフトウェアで、重大度 9.8/10 のハードコードされたパスワードが発見されました。
安全
- 安全性の高いリモート ワーカーの 8 つの習慣
- 携帯電話からスパイウェアを見つけて削除する方法
- 最高の VPN サービス: トップ 5 をどう比較しますか?
- データ侵害に関与しているかどうかを確認する方法 - 次に何をすべきか
シスコは、root アカウントのハードコードされたデフォルトのクレデンシャルを消去するための Video Surveillance Manager ソフトウェア用のパッチを提供しました。
シスコの監視ソフトウェアを実行しているアプライアンスを担当する管理者は、早急にパッチを適用する必要があります。 この欠陥は、共通脆弱性スコアリング システム (CVSS) バージョン 3 のスコアが 9.8 の可能性があります。 10.
この欠陥により、攻撃者がデフォルトの資格情報を発見した場合、影響を受けるシステムを root ユーザーとして制御できる可能性があります。
「この脆弱性は、特定のシステム上で影響を受けるソフトウェアのルート アカウントに対する文書化されていないデフォルトの静的なユーザー認証情報が存在することが原因です」と Cisco はアドバイザリーで指摘しています。
「攻撃者は、そのアカウントを使用して影響を受けるシステムにログインすることにより、この脆弱性を悪用する可能性があります。 エクスプロイトが成功すると、攻撃者が影響を受けるシステムにログインし、root ユーザーとして任意のコマンドを実行できる可能性があります。」
欠陥CVE-2018-15427 として追跡され、Cisco Video Surveillance Manager (VSM) ソフトウェア リリースのプレインストールされたインスタンスに影響します。 同社の Connected Safety and Security ユニファイド コンピューティング システム (UCS) アプライアンスの 4 つで、7.10、7.11、および 7.11.1。
影響を受けるモデルには、CPS-UCSM4-1RU-K9、CPS-UCSM4-2RU-K9、KIN-UCSM5-1RU-K9、および KIN-UCSM5-2RU-K9 が含まれます。
シスコは、ソフトウェアをインストールする前にルートアカウントとデフォルトの認証情報を無効にしなかったため、この欠陥が存在したと述べた。 シスコによると、ユーザーの認証情報は公表されておらず、内部テスト中に問題を発見したという。
この修正は、Cisco のネットワーク オペレーティング システムの Linux 版である IOS XE に影響を与える同様の静的認証情報の欠陥に対するアップデートに続くものです。
シスコは当初 3 月にこの欠陥にパッチを当てましたが、 先週明らかになった 統合サービス仮想ルータ(ISRv)上で実行されている IOS XE ソフトウェアにも影響を及ぼしたということです。
同社は今年、ハードコードされたパスワードのバグをいくつかソフトウェアから削除した。 デジタル ネットワーク アーキテクチャ (DNA) センターにあります、 そして Cisco Prime Collaboration Provisioning(PCP)ソフトウェア。
過去の報道と関連報道
シスコの重大な欠陥の警告: これらの重大度 10/10 のバグには今すぐパッチを適用する必要があります
ソフトウェア デファインド ネットワークを管理するシスコのソフトウェアには、リモートから悪用可能な重大な脆弱性が 3 つあります。
シスコ、Nexus の重大な欠陥にパッチを適用: スイッチは脆弱ですか?
実行しているソフトウェアに脆弱性があるか、すでに修正されているかを確認するには、Cisco のアドバイザリを確認する必要があります。
Cisco:ハードコードされたパスワードの重大なバグ、リモート コード実行の欠陥を修正するために今すぐアップデートしてください
シスコは、2 つの深刻な認証バグと Java デシリアライゼーションの欠陥にパッチを適用しました。
シスコ、顧客に重大なセキュリティ上の欠陥を警告、勧告にはApache Strutsも含まれる
大規模なセキュリティ アップデートには、最近明らかになった Apache のバグに対するパッチが含まれていますが、まだすべての製品が修正されるわけではありません。
シスコ、ASR 9000 エッジ ルーティング プラットフォームをアップデートし、ユーザーを 5G、マルチクラウドの世界に導く TechRepublic
新しい自動化ソフトウェア、新しいネットワーキング プロセッサ、および新しいオペレーティング システムは、シスコの顧客が次世代ネットワーキングに移行するのに役立ちます。
Apple と Cisco が力を合わせて企業をサイバーリスクから守る CNET
Apple と Cisco は、サイバー脅威のリスクから企業を守るために協力します。