思科发布了一份安全公告,解释了最近发现并修复的安全漏洞。根据公告,思科在某些设备中使用了硬编码的调试帐户。
所谓硬编码的调试账号就是直接写在固件里的账号和密码,任何人只要找到这个账号和密码就可以直接登录设备。
而这类调试账号通常拥有极高的权限,可以用来做任何事情。建议使用思科设备的公司查看安全公告,尽快修复漏洞。
除了硬编码调试帐户外,Cisco 还提供可重复使用静态 SSH 密钥的支持软件。攻击者可以从控制系统中提取密钥进行攻击。
硬编码调试帐户问题影响 Cisco Catalyst PON 系列交换机光网络终端的光网络终端。该漏洞可能会对设备造成严重的安全影响。
要利用此漏洞,攻击者必须使用易受攻击的设备建立 TELNET 会话并使用硬编码的调试帐户登录。幸运的是,默认情况下不启用 TELNET。
这可能会影响攻击者可以用来缩小攻击范围的设备数量,即使此 CVE-2021-34795 的 CVSS 评分为 10 分。
受影响的设备包括 CGP-ONT-1P、4P、4PV、4PVC、4TVCW 交换机。企业管理员应尽快下载新固件修复漏洞。
此外,思科确认该漏洞不会影响CGP-OLT-8T/16T。具体受影响的设备及相关固件下载,请点击这里查看安全公告。
另一个严重漏洞 (CVE-2021-40119) 是 Cisco Policy Suite 中的默认 SSH 密钥,它在安装期间重复使用静态 SSH 密钥。
攻击者可以从受控系统中提取密钥来利用该漏洞。未经验证的远程攻击者可以使用 root 帐户登录到受影响的系统。
Cisco Policy Software 21.2.0 及更高版本将在安装过程中自动创建新的 SSH 密钥,但不会在升级过程中创建新的 SSH 密钥。
生成新密钥并覆盖所有设备,企业管理员可参考思科安全公告固定版本部分提供的操作步骤.
相关文章
网友评论(共有 0 条评论)
