近日思科(Cisco)在安全通告中表示,旗下的Unified Communications Domain Manager(Cisco Unified CDM)含有3个安全漏洞。其中一个漏洞原本是为了方便思科进行客户服务所留的后门,然而一旦被滥用,所有客户系统都会面临危险。
Unified Communications Domain Manager为一企业专用的通讯管理软件平台,可自动化管理Cisco Unified Communications Manager、 Cisco Unity Connection及Cisco Jabber等应用程序,以及相容的手机或客户端软件。思科在该软件平台上发现了3个安全漏洞,分别是权限扩张漏洞、预设SSH密钥漏洞,以及BVSMWeb擅自操作资料漏洞等。
其中,权限扩张漏洞是因管理介面的认证与授权控制部署不当,让黑客能够更改使用者的管理凭证,但黑客必须先以有效的使用者身份登入才行。而预设SSH密钥漏洞源自于SSH私密密钥是以不安全的方式储存于系统上,使得黑客有机会取得SSH私密密钥,并得以最高权限存取系统,被视为非常危险的漏洞。
思科安全公告提示Cisco Unified CDM有漏洞
美国系统网路安全研究院(SANS Institute)指出,思科为了方便提供客户支持,在系统上留了一个后门,于所有的系统上配备同样的密钥,由于该密钥也存在于客户的系统上,代表拥有该系统的人,就拥有能够存取所有其他系统的密钥。SANS还认为这应该是会最先被攻击的漏洞。
本周思科已发布更新程序修补权限扩张及预设SSH密钥漏洞。至于BVSMWeb擅自操作资料漏洞则可允许黑客存取或修改BVSMWeb入口网站的使用者资讯,诸如个人手机目录中的设定、快速播号或快速键或转接等设定,思科表示会尽快修补该漏洞。