谁来监督网络安全工作的监督者?
题记:思科爆出硬编码后门并不令人惊讶,相反,如果思科不爆后门,反而会让人觉得少了点什么。今年6月,当时思科爆出硬编码后门账号,而且是四个月来第四次,加上这次是第五次。如果说是无意的疏忽,接连疏忽五次,这可能吗?思科是今年财富评出的世界五百强排名第212位的跨国公司,它是美国最成功的公司之一。
谁来监督监督者?答案是:任何一位登录者皆可。
如果您正在使用思科公司的视频监控套件,请前往该公司的支持网站并下载最新版本的管理软件!
软件 bug 就如害虫一般横扫城市。就在上周,网络巨头承认其思科视频监控管理器设备中,包含一个带有静态硬编码凭证的未记录 root 帐户。
根据相关声明,有人在产品开发过程中在其中创建了一个“秘密”帐户,并忘记移除:“在思科公司将软件安装在受影响平台中时,受影响软件中的 root 帐户未能被正确禁用。”
由于该硬编码帐户拥有管理员级别的 root 权限,因此能够通过网络访问该设备的攻击者将能够借此实现登录,从而执行任意操作。
根据漏洞 cve-2018-15427 的描述:
“在某些思科联网保全与安全统一计算系统(ucs)平台上运行的思科视频监控管理器(vsm)软件可能允许未经身份验证的攻击者利用 root 帐户实现登录,该帐户中拥有默认静态用户凭证。
影响范围
该漏洞会影响某些思科互联安全和安全统一计算系统(ucs)平台上预装的思科视频监控管理器(vsm)软件:版本7.10、7.11与7.11.1,涉及的思科联网保全与安全统一计算系统(ucs)平台包括:
cps-ucsm4-1ru-k9、
cps-ucsm4-2ru-k9、
kin-ucsm5-1ru-k9
kin-ucsm5-2ru-k9。
vsm 7.9 版本之前的软件、以升级方式更新至 7.9 版本的软件以及 vsm 软件vmware esxi 平台不会受到此次漏洞的影响。
系统管理员不确定思科的 vsm 软件是否已在其 ucs 平台上安装并运行,可以在登录 cisco video surveillance operations manager 软件后通过检查系统设置 > 服务器 > 常规选项卡中的型号字段进行检查。
解决方案暂无
根据思科的说法,目前没有任何已知的解决方法可以帮助思科视频监控管理器(vsm)软件用户缓解这一问题。该公司已发布安全更新。
建议所有拥有软件许可证和被认为易受攻击的平台的相关机构进行升级,且可与思科技术支持中心(tac)联系以获取更多详细信息。
如何实现PCIE的发送和接收数据
LDO 基础知识以及其如何延长便携式和可穿戴设备的电池寿命
NP30P10G(100V P沟道增强模式MOSFE)
土壤养分测定仪的作用和意义是怎样的
华为Mate9目标出货量1千万台 引领国产手机占据高端市场
谁来监督网络安全工作的监督者?
Adobe Flash将于今年年底结束其运行
手机射频前端模块化趋势大讲解
谐波严重时怎么选并联电容器
奥比中光助力医疗健康机器人客户便捷选型
谁才是人工智能淘金热中真正能获得经济利益的人?
变压器都拆了,看看iPhone 充电器内部电路
防静电出入门禁管理系统的功能和特点
移动通信领域现存的最后一个不对称管制轰然倒塌,影响甚远
LTE-A中的载波聚合及其生产测试方案
分布式智能控制系统的通信架构注意事项
螺杆式空压机的工作原理与作用
18种接口优化方案汇总2
互联网行业总体平稳,挑战与机遇并存
供应LED金丝球焊线机/深圳市华信超声设备有限公司
谁来监督监督者?答案是:任何一位登录者皆可。
如果您正在使用思科公司的视频监控套件,请前往该公司的支持网站并下载最新版本的管理软件!
软件 bug 就如害虫一般横扫城市。就在上周,网络巨头承认其思科视频监控管理器设备中,包含一个带有静态硬编码凭证的未记录 root 帐户。
根据相关声明,有人在产品开发过程中在其中创建了一个“秘密”帐户,并忘记移除:“在思科公司将软件安装在受影响平台中时,受影响软件中的 root 帐户未能被正确禁用。”
由于该硬编码帐户拥有管理员级别的 root 权限,因此能够通过网络访问该设备的攻击者将能够借此实现登录,从而执行任意操作。
根据漏洞 cve-2018-15427 的描述:
“在某些思科联网保全与安全统一计算系统(ucs)平台上运行的思科视频监控管理器(vsm)软件可能允许未经身份验证的攻击者利用 root 帐户实现登录,该帐户中拥有默认静态用户凭证。
影响范围
该漏洞会影响某些思科互联安全和安全统一计算系统(ucs)平台上预装的思科视频监控管理器(vsm)软件:版本7.10、7.11与7.11.1,涉及的思科联网保全与安全统一计算系统(ucs)平台包括:
cps-ucsm4-1ru-k9、
cps-ucsm4-2ru-k9、
kin-ucsm5-1ru-k9
kin-ucsm5-2ru-k9。
vsm 7.9 版本之前的软件、以升级方式更新至 7.9 版本的软件以及 vsm 软件vmware esxi 平台不会受到此次漏洞的影响。
系统管理员不确定思科的 vsm 软件是否已在其 ucs 平台上安装并运行,可以在登录 cisco video surveillance operations manager 软件后通过检查系统设置 > 服务器 > 常规选项卡中的型号字段进行检查。
解决方案暂无
根据思科的说法,目前没有任何已知的解决方法可以帮助思科视频监控管理器(vsm)软件用户缓解这一问题。该公司已发布安全更新。
建议所有拥有软件许可证和被认为易受攻击的平台的相关机构进行升级,且可与思科技术支持中心(tac)联系以获取更多详细信息。
如何实现PCIE的发送和接收数据
LDO 基础知识以及其如何延长便携式和可穿戴设备的电池寿命
NP30P10G(100V P沟道增强模式MOSFE)
土壤养分测定仪的作用和意义是怎样的
华为Mate9目标出货量1千万台 引领国产手机占据高端市场
谁来监督网络安全工作的监督者?
Adobe Flash将于今年年底结束其运行
手机射频前端模块化趋势大讲解
谐波严重时怎么选并联电容器
奥比中光助力医疗健康机器人客户便捷选型
谁才是人工智能淘金热中真正能获得经济利益的人?
变压器都拆了,看看iPhone 充电器内部电路
防静电出入门禁管理系统的功能和特点
移动通信领域现存的最后一个不对称管制轰然倒塌,影响甚远
LTE-A中的载波聚合及其生产测试方案
分布式智能控制系统的通信架构注意事项
螺杆式空压机的工作原理与作用
18种接口优化方案汇总2
互联网行业总体平稳,挑战与机遇并存
供应LED金丝球焊线机/深圳市华信超声设备有限公司