Разработчики Cisco удалили из Video Surveillance Manager жестко закодированные учетные данные - «Новости»

Разработчики Cisco сообщают, что исправили критическую уязвимость в составе  Video Surveillance Manager (VSM). Баг представлял собой недокументированный root-аккаунт, то есть жестко закодированные логин и пароль, позволявшие атакующему получить root-доступ. По шкале CVSSv3 проблема набрала 9,8 балла из 10 возможных.

Проблема распространялась лишь на версии VSM, предустановленные Cisco и только на платформах CPS-UCSM4-1RU-K9, CPS-UCSM4-2RU-K9, KIN-UCSM5-1RU-K9, KIN-UCSM5-2RU-K9 Connected Safety и Security Unified Computing System (UCS). Багу были подвержены VSM версий 7.10, 7.11 и 7.11.1, а версии VSM 7.9 и ранее проблема не затрагивает. Также вне опасности должны быть и установки VSM 7.10, 7.11 и 7.11.1 на платформах CPS-UCSM4-1RU-K9 и CPS-UCSM4-1RU-K9, при условии, что они были установлены как обновления для предустановленной версии 7.9.

Разработчики признают, что попросту забыли деактивировать root-аккаунт со статичными учетными данными перед установкой VSM на вышеупомянутые платформы. Так как способов обхода проблемы не существует, разработчики настоятельно рекомендуют обновить VMS до безопасной версии 7.12 как можно быстрее.