本文講的是<b>注意!思科Aironet 1830和1850系列存在寫死密碼,請盡快修複!</b>,2015年,思科推出了針對中、小網絡規模快速部署無線網絡的Mobility Express無線網絡解決方案,它可以使用任意無線裝置連接配接到Aironet 1850或1830無線接入點中。但是就在近日,安全研究人員發現,由IT巨頭思科開發的Mobility Express軟體附帶的Aironet 1830和1850系列接入點中存在寫死的管理級SSH密碼。
安全公告寫道,
思科Mobility Express軟體中運作的Aironet 1830和1850系列接入點中的漏洞可能會允許未經身份驗證的遠端攻擊者擷取受影響裝置的完全控制權。該漏洞是由于運作思科Mobility Express軟體的受影響裝置中存在預設憑證,攻擊者遠端利用受影響裝置的第三層連接配接(layer 3 connectivity)就可以使用安全Shell(SSH)來提升權限登入裝置。如果攻擊者充分利用該漏洞将能夠擷取受影響裝置的完全控制權。
想要知道自己裝置上運作的是哪個版本的思科Mobility Express軟體,你可以使用思科Mobility Express無線控制器Web界面或CLI進行檢測。版本号可以在“管理” >“軟體更新”選項下的Web界面中找到。
根據該公司釋出的安全公告顯示,該安全漏洞會影響運作思科Mobility Express軟體8.2.x版本(8.2.111.0.版本之前)的所有接入點,不管該裝置是被配置為主機、附屬裝置還是獨立的接入點均無法幸免。
目前,思科公司已經釋出了免費的軟體更新程式,修複了安全公告中描述的漏洞。各位使用者還需盡快進行下載下傳安裝,避免給攻擊者可乘之機。
與Aironet技術相關的其他安全問題還有:
針對上述問題,思科也已經釋出了安全更新程式進行修複,使用者們可以關注思科公司的最新安全動态,盡快進行修複處理。
思考:寫死密碼仍是一項關鍵性安全缺陷
從瞻博到Fortinet再到思科,衆多企業的在售解決方案都包含着寫死通行碼,而這或将給企業客戶帶來嚴重的安全風險。但是遺憾的是,寫死密碼屬于一項難以解決的内在問題,目前還沒有一種理想的解決辦法。
目前,各大網絡裝置制造商已經成為其主要目标,專門負責軟體評估與代碼審計的Casaba Security公司聯合創始人Chris Weber指出,已釋出産品中的密碼能夠被輕易找到,因為它們會随産品一同放出。某些能夠通路該産品的人完全可以對固件或者軟體進行分解,進而輕松找出密碼内容。這種内置密碼藏得不深,剖析起來也很容易。
他表示,雖然沒有辦法徹底解決這一問題,但是通過提出以下五個與寫死密碼相關的問題向供應商施加壓力,可以一定程度上提升安全性:
一般來講,滲透測試能夠發現被寫入至源代碼當中的密碼内容,而Weber指出,
無論這些密碼是有意還是無意被釋出出來,這都是種很差的習慣。歸根結底,我們需要立足于安全考慮問題:而安全就是便捷性的對立面。安全就像一道路障,總會橫亘在捷徑前面。
Palo Alto Networks公司42部門威脅情報主管Ryan Olson指出,裝置在企業環境下扮演的角色将決定密碼給安全性造成的風險水準。最糟糕的場景就是,該裝置能夠對網絡内某重要部分進行控制,而該密碼又允許通路者順利接入裝置的全部功能。
有時候,寫死密碼的作用隻供初始設定使用。但是如果該密碼被用于預設賬戶,那麼其基本上就是供第一位安裝該裝置的使用者使用,在此之後這位使用者應當将該賬戶移除。不過這些預設賬戶往往沒有被正确移除,而Olson建議稱對裝置進行審計能夠幫助大家了解這些預設賬戶的存在。
原文釋出時間為:2017年4月11日
本文作者:小二郎
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/news/4166.html" target="_blank">原文連結</a>