思科统一CDM平台曝特权账户和静态密码

安全 漏洞
思科旗下的统一CDM(通信域名管理器)被曝包含一个默认无法修改的特权账户并使用静态密码,攻击者可利用对平台进行远程攻击和入侵。

思科旗下的统一CDM(通信域名管理器)被曝包含一个默认无法修改的特权账户并使用静态密码,攻击者可利用对平台进行远程攻击和入侵。

思科统一CDM平台曝特权账户和静态密码

漏洞影响

思科旗下的统一CDM是思科托管协作解决方案(HCS)中的UC域名管理器。它使得思科统一通信管理器、思科统一连接、思科Jabber应用以及相关的手机和软件客户端具有自动化和管理功能。

4.4.5版本之前的思科统一通信域名管理器平台软件都受此漏洞的影响,但是思科统一通信域名管理器版本10.x 并未受影响,因为它并未包含受影响的平台软件。思科安全报告中陈述道:

“思科统一CDM平台软件中存在一个漏洞,该漏洞允许未经身份验证的远程攻击者以root权限用户进行登录,并可以完全控制受影响的系统。该漏洞之所以存在,是因为一个特权账户拥有了一个默认的静态密码。在安装该软件时就创建了此账户,并且在不影响系统功能的前提下,无法修改或删除该账户,使用该账户通过SSH远程连接到受影响的系统,攻击者就可以利用这个漏洞。一个利用代码可以允许攻击者完全控制整个受影响的系统。”

思科公司证实了该漏洞的存在。该漏洞利用起来非常简单,攻击者可以通过SSH远程连接到统一CDM平台,并可以以具有root权限的账户身份登录,这使得攻击者有可能控制整个思科统一CDM平台,并能够窃取该平台上管理的所有数据。思科公司对该漏洞的严重性评级为10,即最高的安全等级。

已发布漏洞补丁

思科已经修复了思科统一CDM平台中的该漏洞,并发布了免费软件升级来解决这个问题。这份安全报告可以在这里下载到。

值得注意的是,将管理凭证或SSH密钥进行硬编码这类事件已经不是第一次。就在几周前,思科的安全专家在思科的很多安全设备中都发现存在一个默认的SSH密钥(Freebuf相关报道)。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2015-07-07 17:28:48

2016-02-17 10:03:45

2019-01-09 10:04:16

2010-05-24 09:39:25

思科统一通信

2010-05-25 16:08:08

思科统一通信

2009-08-28 14:09:19

C#静态类

2010-11-18 11:18:36

Lync微软统一通信

2023-02-15 11:58:29

2010-01-11 11:16:43

三层交换机配置

2009-04-15 10:28:54

思科统一计算

2010-05-24 10:34:29

思科统一通信

2010-05-24 09:59:19

思科统一通信

2010-05-24 11:00:22

思科统一通信

2009-05-09 09:25:08

思科UCS产品

2010-05-24 10:45:20

思科统一通信

2012-08-14 14:33:24

Oracle账户管理器身份治理

2011-03-04 12:21:26

思科通信平台

2023-04-12 21:34:31

2017-12-15 21:46:45

2010-05-23 23:34:32

思科统一通信
点赞
收藏

51CTO技术栈公众号