Cisco软件管理平台曝出默认密码漏洞

一个默认密码可让任何人都访问思科智能软件管理On-Prem基础平台（Cisco Smart Software Manager On-Prem base），可能对内网其他设备造成威胁。

近期，Cisco软件管理平台的高可用性（HA）服务中的一个高危漏洞被曝出，由于它使用了默认密码，导致为攻击者打开了入侵的大门。

Cisco Smart Software Manager On-Prem base用于管理思科客户和合作伙伴的产品许可证，提供各个组织购买和使用的思科设备许可证的实时报告。根据思科的产品说明书，该平台针对的是“有严格安全要求的客户，他们不希望自己的产品通过互联网直接连接到Smart Software Manager的中央授权数据库”，比如金融机构、公用事业、服务提供商和政府机构。

思科在周三发布的一份报告中指出，硬编码密码是“一个不受系统管理员控制的系统账户”。基本上，任何知道密码的人（可能在安装指南或其他文档中可以找到）都可以登录这个帐户，然后连接到Cisco Smart Software Manager On-Prem base。该漏洞的CVE编号为CVE-2020-3158。

Automox的信息安全与研究主管Chris Hass对安全信息网站Threatpost表示，像这样的漏洞很容易被攻击者利用。存在默认硬编码的系统完全不需要任何黑客技能就可被攻击者攻破。

思科表示，该漏洞的CVSS评分为9.8，“可能允许未经身份验证的远程攻击者使用高权限帐户访问系统的敏感部分”。“攻击成功可以让攻击者获得对系统数据的读写访问权，包括控制受影响设备的配置。”

好消息是，虽然攻击者可以访问系统的敏感部分，但是他们并没有控制设备的全部管理权限。

本周，思科发布了安全补丁（Cisco Smart Software Manager On-Prem release 7-202001）。值得一提的是，只有在启用了HA特性时，此漏洞才会影响系统，默认情况下并不会启用HA。

hIQkru的Steven Van Loo因发现了这一漏洞而受到赞扬。

“不幸的是，Mirai僵尸网络的教训并没有带来更强有力的安全措施。制造商和网络服务提供商继续忽视网络安全的基本知识，这令人非常失望。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://threatpost.com/critical-cisco-bug-software-licencing-remote-attack/153086/