思科发布了一份公告,其中披露了其视频监控管理器设备中的漏洞,该漏洞可能允许未经身份验证的攻击者使用默认的静态凭据获取root访问权限。
出现安全问题是因为思科安装软件后未启用未记录的默认root帐户凭据。
此外,在被成功利用后,该漏洞使攻击者能够以root用户身份执行任何命令。
该漏洞会影响某些思科互联安全和安全统一计算系统(UCS)平台上预装的思科视频监控管理器(VSM)软件7.10,7.11和7.11.1,并允许远程攻击者使用静态登录用户凭据作为root帐户。
此外,受影响的UCS平台是CPS-UCSM4-1RU-K9,CPS-UCSM4-2RU-K9,KIN-UCSM5-1RU-K9和KIN-UCSM5-2RU-K9。
思科已针对其默认密码漏洞通报中列出的所有漏洞发布了安全更新
系统管理员不确定Cisco的VSM软件是否已在其UCS平台上安装并运行,可以在登录Cisco Video Surveillance Operations Manager软件后通过检查系统设置>服务器>常规选项卡中的型号字段进行检查。
根据思科的说法,没有任何已知的解决方法可以帮助思科视频监控管理器(VSM)软件用户缓解这一问题。
该公司已宣布已发布安全更新,以影响在易受攻击的UCS平台上运行的VSM软件。
建议所有拥有软件许可证和被认为易受攻击的平台的客户进行升级,并鼓励他们与思科技术支持中心(TAC)或其维护提供商联系以获取更多详细信息。