Ontwerpfout geeft hackers toegang tot Cisco IP telefoons
Cisco Systems heeft gewaarschuwd dat er beveiligingslekken in haar IP telefoons zijn gevonden waardoor een aanvaller de beveiliging kan omzeilen. De eerste waarschuwing van de netwerkgigant is voor twee versies van het Unified IP Conference Station, te weten 7935 versie 3.2(15) en 7936 versie 3.3(12).
Vanwege een ontwerpfout in de HTTP interface worden de logingegevens van de beheerder in de cache opgeslagen, waardoor de volgende persoon die remote inlogt geen logingegvens meer hoeft in te vullen. Als er nooit op afstand op het apparaat is ingelogd, is die ook niet kwetsbaar.
Cisco heeft ook fouten ontdekt in haar Unified IP telefoons, waaronder de 7906G, 7911G, 7941G, 7961G, 7970G en 7971G. Deze IP telefoons bevatten een standaard gebruikersnaam en wachtwoord voor "debugging doeleinden". Vanwege een implementatiefout, kan dit standaard account niet worden uitgeschaked, verwijderd of het wachtwoord worden aangepast. Hierdoor kan een aanvaller inloggen en het systeem laten crashen.
Cisco raadt aan dat beheerders een "access control list" op hun routers, switches en firewalls toepassen om het verkeer naar kwetsbare stations te filteren. Ook zal er een update verschijnen, maar wanneer die beschikbaar is, is nog niet bekend.
Immers, het apparaat hoeft niet weggegooid te worden ofzo.
hotel dat werkelijk uitpuilde van deze typen toestellen. Elke hotelkamer
bezat er maar liefst 2. 1tje naast je bed als 'gewone' telefoon en wake-up-
call service. En 1 machine op het bureau als info-center (weer, verkeer en
een paar games zoals tic-tac-toe).
Wat me opviel is dat iedere gebruiker toegang heeft tot het config-menu,
maar dat een paar administratieve knoppen niet oplichten omdat 'this
function is currently not available'.
Benieuwd wat er zo nog meer voor 'lekken' aan het licht komen als die
toestellen uitgebreid geanalyseerd gaan worden door hackers...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
