Cisco umieściło w dokumentacji login i hasło uprzywilejowanego konta

dodał 8 sierpnia 2013 o 22:51 w kategorii Wpadki  z tagami:
Cisco umieściło w dokumentacji login i hasło uprzywilejowanego konta

Tylne furtki w urządzeniach różnych producentów to najczęściej celowo skonfigurowane lub zapomniane konta serwisowe, o których nie ma ani słowa w dokumentacji. Cisco postawiło poprzeczkę wyżej – swoją tylną furtkę opisało w oficjalnej instrukcji.

Cisco produkuje między innymi systemy telekonferencyjne z serii Cisco TelePresence. Wczoraj okazało się, że znajduje się w nich tylna furtka, umożliwiająca dostęp administracyjny do urządzenia. Cały kawał polega jednak na tym, że tym razem ta funkcjonalność nie tylko została w urządzeniu umieszczona, ale została także udokumentowana – ponieważ jej rola miała być nieco inna.

Cisco, projektując swoje urządzenia wideokonferencyjne, wymyśliło prosty sposób resetu zapomnianego hasła. Według oficjalnej dokumentacji wystarczy zalogować się do urządzenia przez SSH, używając wbudowanego, automatycznie konfigurowanego konta pwrecovery oraz hasła pwreset, by zobaczyć menu zmiany hasła:

dhcp-249:~ $ ssh [email protected]
[email protected]'s password:
***********************************************
***********************************************
** 			                     **
**        Welcome to password reset          **
**                                           **
***********************************************
***********************************************

Do you want to continue ? (y/n):y
Preparing the system...
Please enter the passcode:

System nie jest jednak beznadziejnie zaprojektowany, ponieważ aby zresetować hasło administratora, potrzebny jest kod PIN, wyświetlany na głównym ekranie telekonferencji. Zobaczyć go można tylko będąc w okolicy urządzenia, zatem wydawać by się mogło, że zabezpieczenie jest całkiem sensowne – gdyby nie jeden drobny szczegół.

 Jeden z klientów Cisco przeprowadzał niedawno testy bezpieczeństwa swojej platformy TelePresence i z głupia frant, znając dane konta SSH służącego jedynie do resetu hasła, podał ten sam login i hasło w interfejsie www urządzenia. Co się okazało? Jak się domyślacie, ten sam login i hasło dają dostęp administracyjny do konsoli www – tym razem bez kodu PIN. Taka drobna, nieprzewidziana funkcjonalność.

Cisco, poinformowane o odkryciu, wydało odpowiedni biuletyn bezpieczeństwa i pracuje nad aktualizacją oprogramowania. Błąd występuje w urządzeniach Cisco TelePresence System Series 500, 13X0, 1X00, 3X00 oraz 30X0 z oprogramowaniem w wersji 1.10.1 i starszych oraz w urządzeniach z serii Cisco TelePresence TX 9X00 z oprogramowaniem 6.0.3 i starszym. Obecnie jedyną możliwością wyeliminowania zagrożenia jest zmiana w konfiguracji urządzenia nazwy konta „helpdesk” na „pwrecovery” – dzięki temu konto serwisowe zostanie nadpisane przez nowe ustawienia.