谁来监督监督者?答案是:任何一位登录者皆可。 

如果您正在使用思科公司的视频监控套件,请前往该公司的支持网站并下载最新版本的管理软件!    

软件 Bug 就如害虫一般横扫城市。就在上周,网络巨头承认其思科视频监控管理器设备中,包含一个带有静态硬编码凭证的未记录 root 帐户。

根据相关声明,有人在产品开发过程中在其中创建了一个“秘密”帐户,并忘记移除:“在思科公司将软件安装在受影响平台中时,受影响软件中的 root 帐户未能被正确禁用。”

由于该硬编码帐户拥有管理员级别的 root 权限,因此能够通过网络访问该设备的攻击者将能够借此实现登录,从而执行任意操作。

根据漏洞 CVE-2018-15427 的描述:

“在某些思科联网保全与安全统一计算系统(UCS)平台上运行的思科视频监控管理器(VSM)软件可能允许未经身份验证的攻击者利用 root 帐户实现登录,该帐户中拥有默认静态用户凭证。

影响范围

该漏洞会影响某些思科互联安全和安全统一计算系统(UCS)平台上预装的思科视频监控管理器(VSM)软件:版本7.10、7.11与7.11.1,涉及的思科联网保全与安全统一计算系统(UCS)平台包括:

  • CPS-UCSM4-1RU-K9、

  • CPS-UCSM4-2RU-K9、

  • KIN-UCSM5-1RU-K9

  • KIN-UCSM5-2RU-K9。

VSM 7.9 版本之前的软件、以升级方式更新至 7.9 版本的软件以及 VSM 软件VMware ESXi 平台不会受到此次漏洞的影响。

系统管理员不确定思科的 VSM 软件是否已在其 UCS 平台上安装并运行,可以在登录 Cisco Video Surveillance Operations Manager 软件后通过检查系统设置 > 服务器 > 常规选项卡中的型号字段进行检查。

解决方案暂无

根据思科的说法,目前没有任何已知的解决方法可以帮助思科视频监控管理器(VSM)软件用户缓解这一问题。该公司已发布安全更新。

建议所有拥有软件许可证和被认为易受攻击的平台的相关机构进行升级,且可与思科技术支持中心(TAC)联系以获取更多详细信息。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。