Cisco недавно раскрыла информацию о критической уязвимости в своих вычислительных системах для корпоративной сети серии ENCS 5400-W и платформе для облачных сервисов CSP 5000-W, сообщает ZDNet.
Проблема, выявленная в ходе внутренних тестов, связана с тем, что в программном обеспечении устройств Cisco Enterprise NFV Infrastructure Software (NFVIS) содержатся данные об учетных записях пользователей с фиксированным паролем по умолчанию.
NFVIS помогает клиентам виртуализировать такие сетевые сервисы Cisco, как Integrated Services Virtual Router, virtual WAN optimization, Virtual ASA, virtual Wireless LAN Controller и Next-Generation Virtual Firewall. Использование фиксированного пароля по умолчанию позволяет удаленному злоумышленнику, не имеющего данных для доступа, войти в интерфейс командной строки NFVIS уязвимого устройства с правами администратора.
Пользователям уязвимых устройств рекомендовано установить обновление Cisco, если их оборудование работает под управлением vWAAS с версиями связанных с NFVIS образов 6.4.5 или 6.4.3d и старше.
Обновление - единственно возможный способ устранить уязвимость, обозначенную как CVE-2020-3446 и получившую 9,8 баллов из 10 по шкале оценки опасности уязвимости CVSS (Common Vulnerability Scoring System).
Также Cisco опубликовала информацию о множественных уязвимостях высокой степени опасности в IP-камерах Cisco Video Surveillance серии 8000. Бреши позволяют неавторизованному злоумышленнику, находящемуся в той же локальной сети, дистанционно инициировать выполнение кода или внезапную перезагрузку устройств, вызывая отказ в обслуживании.
Уязвимости, обозначенные как CVE-2020-3506 и CVE-2020-3507, присутствуют в IP-камерах Cisco с версией прошивки старше 1.0.9-4 и включенным протоколом CDP. В качестве единственного "лечения" тоже рекомендовано обновление ПО.
Еще одна опасная уязвимость (CVE-2020-3443) найдена в ПО Cisco Smart Software Manager On-Prem (SSM On-Prem) в версиях старше 8-202004. Одновременно с исправлением уязвимостей критической и высокой степени опасности, Cisco выпустила патчи для устранения еще двух десятков менее серьезных уязвимостей.