Af Nicolai Devantier, 11/06/18
Cisco har fjernet hardcoded legitimations-oplysninger, som en angriber kan udnytte til at få adgang til enheder i netværket.
Det handler om en adgangskode fundet i Ciscos Wide Area Application Services (WAAS), der er en software-pakke, der kan optimere WAN-trafikstyring.
Bagdørsfunktionen (CVE-2018-0329) blev fundet i en hardcoded read-only SNMP community string i konfigurationsfilen til SNMP daemon.
SNMP, eller Simple Network Management Protocol, er en internetprotokol, der anvendes til at samle data om eller fra eksterne enheder. Den berørte community string var beregnet til at SNMP-servere, der kendte strengen, kunne forbinde til den eksterne Cisco-enhed og samle statiske oplysninger.
Men det har altså vist sig, at en angriber kan udnytte sårbarheden. Ved udnyttelse kan angriberen læse alle data, der er tilgængelige via SNMP, på den sårbare enhed.
Problemet er godt gemt og kan hverken opdages eller lukkes uden adgang til rod-biblioteket, hvilket almindelige administrative brugere normalvis ikke har.
Svagheden blev rapporteret til Cisco i marts, og firmaet har i sidste uge udsendt opdateringer til WAAS sammen med en pakke på 28 rettelser.
Anbefaling:
Installer rettelserne fra Cisco.
Links:
- Cisco removed hardcoded credentials in WAAS software, artikel fra securityaffairs.
- Cisco Removes Backdoor Account, Fourth in the Last Four Months, artikel fra Bleepingcomputer.
- Cisco Wide Area Application Services Software Static SNMP Credentials Vulnerability, information fra Cisco.
- Cisco Security Advisories and Alerts, Ciscos sikkerhedsopdateringer.