Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
07 юли
2017
 
 

Cisco е вграждала пароли в софтуера на свои рутери

3316 прочитания, 0 коментара

Cisco Systems публикува няколко бюлетина на тема сигурност, с които обяви откриването и отстраняването на ред критични грешки в свои облачни продукти, съобщи CNews. Голяма част от тях са свързани с възможност за отдалечено стартиране на код или повишаване на потребителските привилегии.

В облачния Elastic Services Controller (ESC) например са открити „статични“, предварително програмирани (т.е. неподлежащи на промяна) данни за авторизация. С тяхна помощ злоумишленици са можели да получават достъп до конзолата за управление.

Тъй като тези данни са били общи за различни устройства хакерите са можели да „генерират администраторски токън сесии, чрез които да получават достъп до всички активни конзоли на ESC“.

Прочетете още: Cisco купува компания за управление на софтуерни системи за $3,7 млрд.

Освен това в тези устройства е открит и бъг, позволяващ повишаване привилегиите. „Вграденият“ потребител с име tomcat има достъп до команди и шелове, допускащи презаписване на файлове в системата и повишаване на правата до ниво root (суперпотребител).

В системата за автоматизация Ultra Services Framework (USF) е била открита опасна настройка на системата за синхронизация на Apache ZooKeeper. Тя може да бъде използвана за отдалечен достъп до устройства.

Пак там е налице и бъг в спомагателния сървър. Уязвимост в AutoIT позволява отдалечено стартиране на команди с правомощията на суперпотребител.

Още две грешки също се отнасят до USF. Първата се съдържа в инструмента AutoVNF и позволява получаване на достъп до целия ESC. Проблемът е в това, че потребителските имена и паролите се съхраняват в незащитен вид в лог файл. Втората е в метода на генериране на т.нар. симлинкове, който позволява прочитане на и стартиране на файлове без влизане в системата.

За всички грешки са пуснати обновявания. Имайки предвид тяхната сериозност се препоръчва те да бъдат приложени максимално бързо.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
ТОП100 НА ТЕХНОЛОГИЧНИТЕ КОМПАНИИ


Слайдшоу
ИНТЕРВЮ
Тод Англин, Progress:  София има страхотна общност от софтуерни разработчициТод Англин, Progress: София има страхотна общност от софтуерни разработчици

Конференцията DevReach се завръща в София, има месец до събитието, а всички билети вече са разпродадени, коментира главният евангелист на Progress.

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас