思科删除视频监控管理器中的默认密码
翻译:360代码卫士团队
思科修复视频监控管理器 (VSM) 中可导致未认证用户以 root 身份登录的一个严重漏洞。
上周五,思科披露称,这个漏洞仅影响在某些 Connected Safety and Security Unified ComputingSystem (UCS) 平台上运行的 VSM 软件。该公司表示这个问题存在于根账户的默认静态凭证。
思科强调称,该账户的凭证并未记录而且仅影响某些系统。利用该漏洞的攻击者能够登录受影响系统并以根用户身份执行任意代码。
思科表示,这个 bug 影响 VSM Software 版本7.10、7.11和7.11.1。然而,只有在软件被思科预装的前提下才会出现这个 bug,且仅影响 CPS-UCSM4-1RU-K9、CPS-UCSM4-2RU-K9、KIN-UCSM5-1RU-K9 和KIN-UCSM5-2RU-K9 Connected Safety and Security UCS平台。
思科在一份安全公告中指出,“这个漏洞产生的原因在于受影响软件的根账户并未在思科于易受攻击平台上安装软件前被禁用,因此该账户存在默认的静态用户凭证。这些用户凭证并未被公开记录。”
VSM 软件版本7.9 及更早版本并未受该 bug 影响。在 CPS-UCSM4-1RU-K9 和CPS-UCSM4-1RU-K9 平台上运行的 VSM 版本7.10、7.11 和7.11.1均未受影响,不管它们是否被安装更新至预装的版本7.9。VMware ESXi 平台上的 VSM 也并未受影响。
目前尚不存在缓解措施,建议受影响用户更新至 VSM 7.12 修复漏洞。不想升级的用户可联系思科 TAC 获取更多协助。思科还表示,思科产品安全事件响应团队并未收到任何相关的漏洞公开报告或对漏洞的恶意使用。
推荐阅读
原文链接
https://www.securityweek.com/cisco-removes-default-password-video-surveillance-manager
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。