Cisco признала: В ее контроллерах неизменяемые логины и пароли были вшиты прямо в код
Корпорация Cisco опубликовала серию бюллетеней безопасности, посвященных критическим уязвимостям в ее продуктах.Ошибки контроля
Cisco Systems опубликовала несколько бюллетеней безопасности в связи с выявлением – и устранением – ряда критических ошибок в ее облачных продуктах. Большая часть ошибок связана с возможностью удаленного запуска произвольного кода или повышения привилегий в системе.
В частности, в облачном контроллере Elastic Services Controller выявлено присутствие «статических» предустановленных (то есть, неизменных) данных на авторизацию, то есть «вшитых» в код административных логинов и паролей, не поддающихся изменению. С их помощью злоумышленники могут удаленно получать доступ в консоль управления.
Поскольку эти данные являются общими для нескольких разных установок, злоумышленик может «сгенерировать администраторский токен сессии, который позволит получать доступ к всем активным веб-консолям ESC».
Кто пустил кота?
Кроме того, в ESC обнаружился баг, позволяющий повышать привилегии: предустановленный пользователь с ником tomcat имеет доступ к некоторым командам оболочки, допускающими перезапись любых файлов в системе и повышения привилегий до уровня root (суперпользователя).
Опасность лишних привилегий
В системе автоматизации Ultra Services Framework (USF) обнаружилась небезопасная настройка службы конфигурирования и синхронизации Apache ZooKeeper. В теории ее также можно использовать удаленно для получения доступа к тому или иному устройству, если злоумышленнику удается попасть в сеть оркестратора.
Фреймворк, кроме того, содержит баг во вспомогательном сервере: уязвимость в службе AutoIT позволяет удаленно запускать произвольные команды оболочки с полномочиями суперпользователя.
Без проверки авторизации
Еще две обнаруженные ошибки также относятся к USF. Первая содержится в инструменте AutoVNF и позволяет - в теории - получить административный доступ ко всему ESC. Проблема заключается в том, что администраторские логин и пароль сохраняются в лог-файле в незашифрованном виде, и если злоумышленник знает адрес этого файла, он может добраться и до авторизационных данных.
Вторая ошибка кроется также в AutoVNF и его методе генерации символической ссылки («симлинка»). При наличии работающего эксплойта, злоумышленник может прочитать любой файл или запускать произвольный код без авторизации в системе.
Для всех ошибок выпущены программные обновления. Учитывая их серьезность, данные патчи следует установить как можно скорее.