思科已发布有关其紧急响应程序软件中的漏洞的安全公告,该漏洞允许未经身份验证的远程攻击者使用 root 帐户登录受影响的设备。
该漏洞被指定为 CVE-2023-20101,其根源在于 root 帐户具有无法更改或删除的默认静态凭据。事实证明,通过隐蔽性实现安全还不够隐蔽。
思科在其公告中解释说:“此漏洞是由于根帐户存在静态用户凭据造成的,这些凭据通常保留在开发过程中使用。” “攻击者可以通过使用该帐户登录受影响的系统来利用此漏洞。”
这样,攻击者就可以从任何地方登录并以 root 用户身份执行任意命令。因此,基本 CVSS 分数为 9.8。
Cisco Emergency Responder 旨在与 Cisco Unified Communications Manager 配合使用,以确保将紧急呼叫路由到适合位置的公共安全应答点 (PSAP)。它支持实时位置跟踪、呼叫路由以及自动通知安全人员呼叫者的位置等。
这不是那种你希望被恶意者接管的系统。
包含硬编码凭据是教科书上的安全缺陷。其常见弱点枚举为CWE-798:使用硬编码凭证 - 需要指定的事实说明了一切。根据安全组织 MITRE 的数据,2023 年,它在 25 个最顽固的漏洞中排名第 18 位。
MITRE 将硬编码凭证的使用归入“由于不良的安全架构或不良的安全设计选择而引入系统的弱点”类别。
至少思科设法“在内部安全测试期间”找到了该漏洞,而不是通过主动利用来了解该漏洞。它表示没有解决方法,并已发布软件补丁来解决该问题。
至少只有一个特定版本的软件受到影响:Cisco Emergency Responder 版本 12.5(1)SU4。12.5 版本于 2019 年 1 月发布。
之前的版本(11.5(1) 及更早版本)不受影响。也不是最新版本,14。®