思科已發(fā)布有關(guān)其緊急響應(yīng)程序軟件中的漏洞的安全公告,該漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者使用 root 帳戶登錄受影響的設(shè)備�。
該漏洞被指定為 CVE-2023-20101,其根源在于 root 帳戶具有無法更改或刪除的默認(rèn)靜態(tài)憑據(jù)���。事實(shí)證明,通過隱蔽性實(shí)現(xiàn)安全還不夠隱蔽��。
思科在其公告中解釋說:“此漏洞是由于根帳戶存在靜態(tài)用戶憑據(jù)造成的���,這些憑據(jù)通常保留在開發(fā)過程中使用�����。” “攻擊者可以通過使用該帳戶登錄受影響的系統(tǒng)來利用此漏洞����?�!?/span>
這樣��,攻擊者就可以從任何地方登錄并以 root 用戶身份執(zhí)行任意命令。因此�����,基本 CVSS 分?jǐn)?shù)為 9.8����。
Cisco Emergency Responder 旨在與 Cisco Unified Communications Manager 配合使用,以確保將緊急呼叫路由到適合位置的公共安全應(yīng)答點(diǎn) (PSAP)�����。它支持實(shí)時(shí)位置跟蹤��、呼叫路由以及自動(dòng)通知安全人員呼叫者的位置等���。
這不是那種你希望被惡意者接管的系統(tǒng)。
包含硬編碼憑據(jù)是教科書上的安全缺陷����。其常見弱點(diǎn)枚舉為CWE-798:使用硬編碼憑證 - 需要指定的事實(shí)說明了一切。根據(jù)安全組織 MITRE 的數(shù)據(jù)���,2023 年����,它在 25 個(gè)最頑固的漏洞中排名第 18 位。
MITRE 將硬編碼憑證的使用歸入“由于不良的安全架構(gòu)或不良的安全設(shè)計(jì)選擇而引入系統(tǒng)的弱點(diǎn)”類別��。
至少思科設(shè)法“在內(nèi)部安全測(cè)試期間”找到了該漏洞�����,而不是通過主動(dòng)利用來了解該漏洞���。它表示沒有解決方法�����,并已發(fā)布軟件補(bǔ)丁來解決該問題�����。
至少只有一個(gè)特定版本的軟件受到影響:Cisco Emergency Responder 版本 12.5(1)SU4���。12.5 版本于 2019 年 1 月發(fā)布。
之前的版本(11.5(1) 及更早版本)不受影響����。也不是最新版本�,14���。?
