USD 67.68 ЕВРО 76.07

Cisco оставила в Unified CDM открытую дверь для хакеров

Экономика

Программное обеспечение Unified Communications Domain Manager содержит привилегированную учетную запись со статическим паролем, который не может быть удален или изменен


 
Компания Cisco Systems недавно выяснила, что ее программное обеспечение Unified Communications Domain Manager (Unified CDM) содержит привилегированную учетную запись по умолчанию со статическим паролем, который не может быть изменен, что делает платформу уязвимой для взлома удаленными злоумышленниками.
 
Cisco Unified CDM является частью Cisco Hosted Collaboration System и обеспечивает автоматизацию и административные функции для Cisco Unified Communications Manager, Cisco Unity Connection, приложений Cisco Jabber, связанных телефонов и программного обеспечения клиентов.
 
Привилегированная учетная запись создается при первой установке Unified CDM и не может быть изменена или удалена без изменения функциональности системы. Единственное решение, заявляет компания, заключается в установке патчей, которые она выпустила.
Если оставить уязвимость неисправленной, злоумышленники могут удаленно получить доступ к
платформе с помощью SSH и войти с этой учетной записью по умолчанию, которая имеет привилегии суперпользователя. Это даст им полный контроль над уязвимой системой.
Cisco присвоила уязвимости самый высокий рейтинг – 10, основываясь на системе оценки Common Vulnerability Scoring System (CVSS). Это означает, что эксплуатировать уязвимость легко и это может привести к полной компрометации конфиденциальности, целостности и доступности системы.
Уязвимость была исправлена в Unified CDM версии 4.4.5, но исправления также доступны для версий 4.4.3 и 4.4.4 (для клиентов с контрактами на поддержку).
Проблема была обнаружена во время внутренних тестов безопасности Cisco. У компании нет информации о случаях эксплуатации уязвимости в дикой природе.
Учетные записи администратора по умолчанию с жестко-запрограммированными статическими паролями являются серьезной проблемой, но это не новая уязвимость сетевого оборудования и других аппаратных устройств. Это результат плохих проектных решений еще с тех времен, когда безопасность не играла важную роль при разработке продукта.