.
A Cisco emitiu um comunicado de segurança sobre uma vulnerabilidade em seu software Emergency Responder que permitiria que um invasor remoto não autenticado fizesse login em um dispositivo afetado usando a conta root.
A vulnerabilidade, designada CVE-2023-20101, surge do fato de que a conta root possui credenciais estáticas padrão que não podem ser alteradas ou excluídas. Mais uma vez, a segurança através da obscuridade revela-se insuficientemente obscura.
“Esta vulnerabilidade se deve à presença de credenciais de usuário estáticas para a conta root que normalmente são reservadas para uso durante o desenvolvimento”, explica a Cisco em seu relatório. consultivo. “Um invasor pode explorar esta vulnerabilidade usando a conta para fazer login em um sistema afetado.”
E, ao fazer isso, o invasor pode fazer login de qualquer lugar e executar comandos arbitrários como usuário root. Daí a pontuação básica do CVSS de 9,8.
O Cisco Emergency Responder foi projetado para funcionar com o Cisco Unified Communications Manager para garantir que as chamadas de emergência sejam roteadas para um ponto de atendimento de segurança pública (PSAP) apropriado para o local. Ele suporta rastreamento de localização em tempo real, roteamento de chamadas e notificação automática do pessoal de segurança sobre a localização do chamador, entre outras coisas.
Não é o tipo de sistema que você deseja que seja controlado por pessoas com intenções maliciosas.
A inclusão de credenciais codificadas é uma falha de segurança clássica. Sua enumeração de fraqueza comum é CWE-798: Uso de credenciais codificadas – e o fato de precisar de uma designação diz muito. Em 2023, segundo a organização de segurança MITRE, classificado 18 entre as 25 fraquezas mais teimosas.
O MITRE coloca o uso de credenciais codificadas na categoria “Fraquezas introduzidas em um sistema devido a uma arquitetura de segurança deficiente ou escolhas inadequadas de design de segurança”.
Pelo menos a Cisco conseguiu encontrar o bug “durante os testes de segurança interna”, em vez de aprender sobre ele através da exploração ativa. A empresa afirma que não há soluções alternativas e lançou patches de software para resolver o problema.
Pelo menos apenas uma versão específica do software é afetada: Cisco Emergency Responder versão 12.5(1)SU4. A versão 12.5 foi lançada em janeiro de 2019.
Versões anteriores, 11.5(1) e anteriores, não são afetadas. Nem a versão mais recente, 14. ®
.
