Die neueste Version des Unified Communications Domain Managers von Cisco schließt eine Sicherheitslücke die es potenziellen Angreifern ermöglichte die Kontrolle über den Kommunikations-Server zu übernehmen. Diese Schwachstelle lag darin, dass der Server immer einen bestimmten SSH-Key akzeptierte der die Anmeldung als root ermöglichte. Cisco lieferte jedoch standardmäßig einen passenden Private Key mit der bei allen Kunden funktionierte und dadurch ein erhebliches Sicherheitsrisiko darstellte. Durch das Entfernen dieser Backdoor-Funktionalität stellt Cisco sicher. Dass Zugriff auf den Server nur noch über sichere Anmeldeverfahren erfolgen kann.
Den dazu passenden Private Key lieferte Cisco bislang allerdings ebenfalls genauso viel mit mit.
Jeder der Zugriff auf einen UCDM oder die Firmware hat, kann diesen Key extrahieren und sich damit bei allen anderen Cisco-Kunden anmelden. Das gerade veröffentlichte UCDM-Update ist also Pflicht. Es behebt zusätzlich zwei weitere Lücken: Bei einer davon handelt es sich um eine Rechteausweitung die andere erlaubt Angreifer lesenden und schreibenden Zugriff auf Benutzerinformationen.
Kommentare