Jak zalogować się do CISCO ACS z TACACS+ bez znajomości hasła?

dodał 7 listopada 2012 o 20:21 w kategorii Błędy, Drobiazgi  z tagami:

Pamiętacie, jak okazało się, że do bazy MySQL można, w pewnych szczególnych warunkach, zalogować się bez hasła, pod warunkiem, że próbuje się wystarczająco dużo razy? CISCO nie chciało być gorsze i postanowiło również ułatwić życie użytkownikom. Jeśli wierzyć biuletynowi bezpieczeństwa, który ukazał się przed chwilą, podstawowy produkt z linii bezpieczeństwa CISCO, Access Control System, zwany popularnie ACSem, korzystający z protokołu TACACS+ i zewnętrznej bazy LDAP, pozwoli każdemu włamywaczowi, który zgadnie nazwę użytkownika, na zalogowanie się na jego konto. Podatne są wersje 5.1 – 5.3. Brzmi fantastycznie. Podobno wystarczy podać specjalną sekwencję znaków, która zastąpi dowolne hasło. Ciekawe, czy brzmi ona „sezamieotworzsie”. Administratorom zestawu ACS/TACACS+/LDAP polecamy szybkie łatanie.