В системе распространения поправок к данным WAAS найдены вшитые в исходный код учетные данные.
В четвертый раз за последние несколько месяцев Cisco удаляет в одном из своих продуктов вшитые в исходный код параметры доступа. На этот раз встроенный пароль был найден в программном пакете для оптимизации работы WAN-каналов и ускорения передачи файлов в глобальной сети Wide Area Application Services (WAAS). Этот бэкдор-аккаунт злоумышленники могут использовать для компрометации устройств компании и ее клиентов.
Проблема CVE-2018-0329 связана со строкой, находящейся в исходном коде конфигурационного файла простого протокола сетевого управления (SNMP) /etc/snmp/snmpd.conf. С ее помощью злоумышленники могут перехватывать любые доступные через SNMP данные.
На данный момент простой протокол сетевого управления (SNMP) является стандартом для управления удаленными устройствами в IP-сетях на основе архитектур TCP/UDP (роутерами, коммутаторами, рабочими станциями, сетевыми принтерами) и сбора с них данных.
Бэкдор-аккаунт случайно обнаружил специалист по кибербезопасности из RIoT Solutions Аарон Блэр (Aaron Blair) в процессе изучения другой уязвимости WAAS (CVE-2018-0253). Она также связана с повышением привилегий до уровня, обычно открытого только инженерам Cisco. Это и дало ему возможность заметить скрытую строку в файле.
Как сообщает издание Bleeping Computer, хуже всего то, что эта SNMP-строка имени и пароля не видна даже тем владельцам устройств, у кого есть права администратора. Следовательно, ее невозможно самостоятельно обнаружить даже во время регулярных проверок.
Проблема была обнаружена еще в марте, а соответствующий патч безопасности вышел в составе июньского пакета обновлений. По словам представителя вендора, это единственный способ избежать эксплуатации новой уязвимости — смягчающих или обходных решений для ее устранения нет.
В этом году Cisco уже трижды приходилось решать подобные проблемы. В марте ИБ-специалисты компании закрыли сначала 22 бреши, а в конце месяца еще три. Несколько уязвимостей разработчикам удалось устранить в мае — большинство из них были критическими и позволяли получить несанкционированный доступ к устройствам.