07.11.2012 | 20:21

Adam Haertle

Jak zalogować się do CISCO ACS z TACACS+ bez znajomości hasła?

Pamiętacie, jak okazało się, że do bazy MySQL można, w pewnych szczególnych warunkach, zalogować się bez hasła, pod warunkiem, że próbuje się wystarczająco dużo razy? CISCO nie chciało być gorsze i postanowiło również ułatwić życie użytkownikom. Jeśli wierzyć biuletynowi bezpieczeństwa, który ukazał się przed chwilą, podstawowy produkt z linii bezpieczeństwa CISCO, Access Control System, zwany popularnie ACSem, korzystający z protokołu TACACS+ i zewnętrznej bazy LDAP, pozwoli każdemu włamywaczowi, który zgadnie nazwę użytkownika, na zalogowanie się na jego konto. Podatne są wersje 5.1 – 5.3. Brzmi fantastycznie. Podobno wystarczy podać specjalną sekwencję znaków, która zastąpi dowolne hasło. Ciekawe, czy brzmi ona „sezamieotworzsie”. Administratorom zestawu ACS/TACACS+/LDAP polecamy szybkie łatanie.

Powrót

Komentarze

  • 2012.11.09 10:59 Pomocny

    Link jest poprawny, bo taki sam zarejestrował PacketStorm (Packetstorm też to zarejestrował, link się zgadza: http://packetstormsecurity.org/files/117954/cisco-sa-20121107-acs.txt).

    Czyżby Cisco usunęło advisory?

    Odpowiedz
  • 2012.12.10 10:09 Gerhard

    Dziękuję za informacje. Jestem jednym z tych administratorów. Nie chcę tego nazwać gorzej, więc napiszę, że jest to lekko niepoważne. Szczere podziękowania za informację.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak zalogować się do CISCO ACS z TACACS+ bez znajomości hasła?

Komentarze