Cisco признала: В ее контроллерах неизменяемые логины и пароли были вшиты прямо в код

Безопасность Стратегия безопасности Пользователю Новости поставщиков
мобильная версия
, Текст: Роман Георгиев
Корпорация Cisco опубликовала серию бюллетеней безопасности, посвященных критическим уязвимостям в ее продуктах.

Ошибки контроля

Cisco Systems опубликовала несколько бюллетеней безопасности в связи с выявлением – и устранением – ряда критических ошибок в ее облачных продуктах. Большая часть ошибок связана с возможностью удаленного запуска произвольного кода или повышения привилегий в системе.

В частности, в облачном контроллере Elastic Services Controller выявлено присутствие «статических» предустановленных (то есть, неизменных) данных на авторизацию, то есть «вшитых» в код административных логинов и паролей, не поддающихся изменению. С их помощью злоумышленники могут удаленно получать доступ в консоль управления.

Поскольку эти данные являются общими для нескольких разных установок, злоумышленик может «сгенерировать администраторский токен сессии, который позволит получать доступ к всем активным веб-консолям ESC».

Кто пустил кота?

Кроме того, в ESC обнаружился баг, позволяющий повышать привилегии: предустановленный пользователь с ником tomcat имеет доступ к некоторым командам оболочки, допускающими перезапись любых файлов в системе и повышения привилегий до уровня root (суперпользователя).

Опасность лишних привилегий

В системе автоматизации Ultra Services Framework (USF) обнаружилась небезопасная настройка службы конфигурирования и синхронизации Apache ZooKeeper. В теории ее также можно использовать удаленно для получения доступа к тому или иному устройству, если злоумышленнику удается попасть в сеть оркестратора.

В числе признанных Cisco уязвимостей есть «вшитые» в программный код неизменяемые логины и пароли

Фреймворк, кроме того, содержит баг во вспомогательном сервере: уязвимость в службе AutoIT позволяет удаленно запускать произвольные команды оболочки с полномочиями суперпользователя.

Без проверки авторизации

Еще две обнаруженные ошибки также относятся к USF. Первая содержится в инструменте AutoVNF и позволяет - в теории - получить административный доступ ко всему ESC. Проблема заключается в том, что администраторские логин и пароль сохраняются в лог-файле в незашифрованном виде, и если злоумышленник знает адрес этого файла, он может добраться и до авторизационных данных.

Вторая ошибка кроется также в AutoVNF и его методе генерации символической ссылки («симлинка»). При наличии работающего эксплойта, злоумышленник может прочитать любой файл или запускать произвольный код без авторизации в системе.

Для всех ошибок выпущены программные обновления. Учитывая их серьезность, данные патчи следует установить как можно скорее.