Cisco liefert teures Sicherheits-System mit fest eingebauter Backdoor
mitteilte, sei die Video Surveillance Manager Appliance von einer "Default Password Vulnerability" betroffen. Das bedeutet, dass diverse im Einsatz befindliche Systeme über einen fest eingebauten Zugriffspunkt mit einem Standard-Passwort verfügen. Hier wurde offenbar von den Entwicklern der übliche Test-Account vergessen, der für die Tests der Produkte eingesetzt wurde und vor dem Release eigentlich stets zu entfernen ist.
Da die Entwickler bei ihren Systemtests natürlich einen kompletten Zugang benötigen, ist der Account hinter den trivialen Zugangsdaten natürlich mit root-Rechten ausgestattet. Angreifer können entsprechend einen vollständigen Zugang zu dem System erhalten und diese Position dann entweder nutzen, um visuell das Unternehmen auszuspionieren oder aber weitergehende Angriffe vorzubereiten.
Der Hersteller weist darauf hin, dass es keinen Workaround für das Problem gibt. Der Administrator kann den fraglichen Test-Account also auch nicht von Hand entfernen, da dieser wirklich fest in den Code eingebaut wurde. Die einzige Option wäre also, den Fernzugriff auf das Überwachungssystem komplett zu kappen. Das würde aber wohl vielfach zu weitergehenden Schwierigkeiten anderer Art führen.
Das hat doch System: Fest einprogrammiertes Passwort in Cisco-Admin-Tool für riesige Netze
Wie das Unternehmen Da die Entwickler bei ihren Systemtests natürlich einen kompletten Zugang benötigen, ist der Account hinter den trivialen Zugangsdaten natürlich mit root-Rechten ausgestattet. Angreifer können entsprechend einen vollständigen Zugang zu dem System erhalten und diese Position dann entweder nutzen, um visuell das Unternehmen auszuspionieren oder aber weitergehende Angriffe vorzubereiten.
Manuelle Lösungen gibt es nicht
Cisco hat zum Zeitpunkt der Veröffentlichung der genannten Informationen auch schon ein Update parat, mit dem die Schwachstelle aus der Welt geschafft wird. Unternehmen, die die Video Surveillance Manager Appliance einsetzen, sollten dieses natürlich entsprechend zügig installieren, damit es jetzt nicht zu Problemen kommt.Der Hersteller weist darauf hin, dass es keinen Workaround für das Problem gibt. Der Administrator kann den fraglichen Test-Account also auch nicht von Hand entfernen, da dieser wirklich fest in den Code eingebaut wurde. Die einzige Option wäre also, den Fernzugriff auf das Überwachungssystem komplett zu kappen. Das würde aber wohl vielfach zu weitergehenden Schwierigkeiten anderer Art führen.
Das hat doch System: Fest einprogrammiertes Passwort in Cisco-Admin-Tool für riesige Netze
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Sicherheit & Backup:
Neue Nachrichten
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen