近日,思科在其IOS XE系统中删除了一个后门账号,该账号允许远程攻击者使用最高权限登录思科路由器和交换机设备。

思科表示“未经记录的用户账户”仅影响运行思科 XE 软件 16.x 的设备,该软件是一种操作系统,大多部署在思科 ASR 路由器和 Catalyst 交换机中。

思科表示,运行 IOS XE 16.X 的设备具备一个名为 “cisco” 的隐藏默认账户以及一个静态密码。不过思科并未披露该密码以免遭利用。

思科设备通常并不具有默认账户,而网络管理员必须在设备第一次启动时设置一个账户。

由于这个账户仅影响 v16.x 版本并且将该公司的名称用作用户名,因此它似乎是在 IOS XE 的开发或测试阶段不小心被暴露的。

缓解措施已存在

思科在消费者门户上发布了软件补丁,设备管理员可通过输入 “no username cisco” 的方式删除这个账户。

该命令的作用是删除这个账户。如果账户仍然存在的话,管理员也可通过常规的管理员用户登录设备并通过该账户更改思科的账户默认密码。

漏洞可遭远程利用

这个“后门”账户 (CVE-2018-0150) 被指为严重漏洞,其评分为9.8(总分为10)。

攻击者能远程登录该账户,而且不一定需要物理访问该设备。这个账户给予攻击者最高访问级别“权限级别15”。

CVE-2018-0150 的补丁是思科在昨天发布的22个安全更新之一。这些补丁还包括对其它两个严重漏洞的修复方案。它们是两个远程代码执行漏洞 CVE-2018-0151 和 CVE-2018-0171。

这是思科本月从其软件中删除的第二个后门账户。思科此前从思科 PCP 中删除了一个类似账户。思科 PCP 是一款软件应用程序,可用于远程安装并维护其它思科语音和视频产品。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。