思科修补了思科视频监控管理器(VSM)中的一个关键漏洞,可能被未经身份验证的远程攻击者利用来获取root访问权限。
思科修复了在某些连接安全和安全统一计算系统(UCS)平台上运行的思科视频监控管理器软件中的一个关键漏洞。
该漏洞可以使未经身份验证的远程攻击者能够在目标系统上以root身份执行任意命令。
在某些系统上运行的软件包括root帐户的默认静态凭据,可以允许攻击者获得root访问权限。
该帐户的凭据未记录。
该漏洞是由于某些系统上受影响软件的root帐户存在未记录的,默认的静态用户凭证, 思科发布的咨询报告中写道 。
攻击者可以通过使用该帐户登录受影响的系统来利用此漏洞。
该漏洞会影响Cisco Video Surveillance Manager(VSM)软件版本7.10,7.11和7.11.1。该缺陷仅影响思科预装软件的系统,仅影响CPS-UCSM4-1RU-K9,CPS-UCSM4-2RU-K9,KIN-UCSM5-1RU-K9和KIN-UCSM5-2RU-K9连接安全和安全UCS平台。
此漏洞的存在是因为在思科在易受攻击的平台上安装软件之前未禁用受影响软件的root帐户,并且该帐户存在默认的静态用户凭据。用户凭证未公开记录,思科咨询继续说道。
当时,此漏洞没有解决方法,用户希望升级到VSM版本7.12以解决该漏洞。
思科证实,它不知道任何利用此问题的攻击。
思科产品安全事件响应小组(PSIRT)不知道有任何公告或恶意使用该漏洞