image

Cisco waarschuwt voor hardcoded admin-wachtwoord in Smart Licensing Utility

donderdag 5 september 2024, 09:19 door Redactie, 6 reacties

Cisco waarschuwt organisaties voor een kritieke kwetsbaarheid in de Smart Licensing Utility waardoor een ongeauthenticeerde aanvaller op afstand kan inloggen. Het probleem wordt veroorzaakt door een ongedocumenteerd hardcoded admin-wachtwoord, zo laat het bedrijf in een beveiligingsbulletin weten. Via de Smart Licensing Utility kunnen organisaties hun Cisco-licenties en bijbehorende producten beheren.

"De kwetsbaarheid wordt veroorzaakt door een ongedocumenteerd statisch wachtwoord voor een admin-account", legt Cisco uit. Via het hardcoded wachtwoord kan een aanvaller op de applicatie inloggen. Dit kan via de API van de Cisco Smart Licensing Utility applicatie. De impact van de kwetsbaarheid (CVE-2024-20439) is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Daarnaast heeft Cisco ook een andere kwetsbaarheid (CVE-2024-20440) met een zelfde impactscore verholpen. Dit beveiligingslek wordt veroorzaakt door 'excessive verbosity' in een debug logbestand. Een aanvaller kan naar een kwetsbaar systeem een speciaal geprepareerd http-request sturen, om zo logbestanden in handen te krijgen die gevoelige data bevatten, waaronder inloggegevens waarmee er toegang tot de API van de applicatie kan worden verkregen. Cisco zegt niet met misbruik van de kwetsbaarheden bekend te zijn.

Reacties (6)
"ongedocumenteerd admin wachtwoord", klinkt als "developer wilde iets kunnen testen, frommelt er wat in en *vergeet* het er ook weer uit te halen" en oh ja de code scanners merken het niet op of de melding werd genegeerd.
Beetje zelfde verhaal als Apple in 2017 waarbij je met een leeg wachtwoord, je moest wel in het wachtwoord veld gaan staan en op return typen, je een root account wachtwoord kon instellen wat leeg was.
(standaard heeft het root account, het is tenslotte een unix variant, op macOS geen wachtwoord, net zoals een aantal Linux distributies dat inregelen).
05-09-2024, 09:55 door Anoniem
klinkt als "developer wilde iets kunnen testen, frommelt er wat in en *vergeet* het er ook weer uit te halen" en oh ja de code scanners merken het niet op of de melding werd genegeerd.
Gelukkig hebben we ook nog Pull requests waar iemand anders de code nakijkt... of gewoon op approve klikt om er van af te zijn.
05-09-2024, 10:15 door Anoniem
Nu moeten we ook eerlijk zijn, als een Oosterse leverancier een "ongedocumenteerd statisch wachtwoord voor een admin-account" had, dan zouden we het beestje bij naam durven noemen.
Een backdoor namelijk.
05-09-2024, 10:35 door Erik van Straten
Door Drs Security en Privacy: "ongedocumenteerd admin wachtwoord", klinkt als "developer wilde iets kunnen testen, frommelt er wat in en *vergeet* het er ook weer uit te halen" [...]
Tenzij je weet dat in nagenoeg alle Cisco producten ongedocumenteerde backdoors aan het licht komen.

https://duckduckgo.com/?q=cisco+undocumented+account
05-09-2024, 11:16 door Anoniem
Als een ontwikkelaar of afdeling een product "Smart" noemt dan weet je al dat het zelf domme idioten zijn...
Dat er dan zo iets aan het licht komt dat verbaast niemand.
05-09-2024, 14:29 door wim-bart
Door Drs Security en Privacy: "ongedocumenteerd admin wachtwoord", klinkt als "developer wilde iets kunnen testen, frommelt er wat in en *vergeet* het er ook weer uit te halen" en oh ja de code scanners merken het niet op of de melding werd genegeerd.
Beetje zelfde verhaal als Apple in 2017 waarbij je met een leeg wachtwoord, je moest wel in het wachtwoord veld gaan staan en op return typen, je een root account wachtwoord kon instellen wat leeg was.
(standaard heeft het root account, het is tenslotte een unix variant, op macOS geen wachtwoord, net zoals een aantal Linux distributies dat inregelen).
Nee hoor, dit is gewoon een backdoor welke er bewust in zit. Alleen is deze net zoals andere backdoors in Cisco producten op straat komen te liggen en nu moeten ze patchen. Het is een exposed feature en geen fout.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.