Cisco heeft een kwetsbaarheid verholpen in Cisco Unified Communications Manager (en Cisco Unified Communications Manager Session Management Edition). De kwetsbaarheid bevindt zich in de hardcoded root SSH-credentials die niet kunnen worden gewijzigd of verwijderd. Dit stelt ongeauthenticeerde externe aanvallers in staat om in te loggen en willekeurige commando's uit te voeren op de getroffen systemen. Dit vormt een ernstig beveiligingsrisico voor organisaties die deze producten gebruiken. SSH toegang is onder normale omstandigheden beperkt tot de interne infrastructuur. Het is goed gebruik een dergelijke toegang te beperken en niet publiek toegankelijk te hebben, maar af te steunen in een separate beheer-omgeving. Potentieel misbruik kan worden gedetecteerd door middel van de onderstaande Indicators of Compromise: Succesvol misbruik resulteert in een log entry in /var/log/active/syslog/secure voor de root gebruiker met root permissions. Het loggen van dit event is standaard ingeschakeld. De logs kunnen worden verkregen door de volgende commando's uit te voeren op de command line: cucm1# file get activelog syslog/secure Wanneer een log entry zowel een sshd vermelding als een succesvolle SSH login vertoont kan dit duiden op mogelijke compromittatie. Zie voorbeeld: Apr 6 10:38:43 cucm1 authpriv 6 systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0) Apr 6 10:38:43 cucm1 authpriv 6 sshd: pam_unix(sshd:session): session opened for user root by (uid=0)
ncsc
03-07-2025 09:43