題記：思科爆出硬編碼后門并不令人驚訝，相反，如果思科不爆后門，反而會讓人覺得少了點什么。今年6月，當(dāng)時思科爆出硬編碼后門賬號，而且是四個月來第四次，加上這次是第五次。如果說是無意的疏忽，接連疏忽五次，這可能嗎？思科是今年財富評出的世界五百強排名第212位的跨國公司，它是美國最成功的公司之一。

誰來監(jiān)督監(jiān)督者？答案是：任何一位登錄者皆可。

如果您正在使用思科公司的視頻監(jiān)控套件，請前往該公司的支持網(wǎng)站并下載最新版本的管理軟件！

軟件 Bug 就如害蟲一般橫掃城市。就在上周，網(wǎng)絡(luò)巨頭承認(rèn)其思科視頻監(jiān)控管理器設(shè)備中，包含一個帶有靜態(tài)硬編碼憑證的未記錄 root 帳戶。

根據(jù)相關(guān)聲明，有人在產(chǎn)品開發(fā)過程中在其中創(chuàng)建了一個“秘密”帳戶，并忘記移除：“在思科公司將軟件安裝在受影響平臺中時，受影響軟件中的 root 帳戶未能被正確禁用。”

由于該硬編碼帳戶擁有管理員級別的 root 權(quán)限，因此能夠通過網(wǎng)絡(luò)訪問該設(shè)備的攻擊者將能夠借此實現(xiàn)登錄，從而執(zhí)行任意操作。

根據(jù)漏洞 CVE-2018-15427 的描述：

“在某些思科聯(lián)網(wǎng)保全與安全統(tǒng)一計算系統(tǒng)（UCS）平臺上運行的思科視頻監(jiān)控管理器(VSM)軟件可能允許未經(jīng)身份驗證的攻擊者利用 root 帳戶實現(xiàn)登錄，該帳戶中擁有默認(rèn)靜態(tài)用戶憑證。

影響范圍

該漏洞會影響某些思科互聯(lián)安全和安全統(tǒng)一計算系統(tǒng)（UCS）平臺上預(yù)裝的思科視頻監(jiān)控管理器（VSM）軟件：版本7.10、7.11與7.11.1，涉及的思科聯(lián)網(wǎng)保全與安全統(tǒng)一計算系統(tǒng)（UCS）平臺包括：

CPS-UCSM4-1RU-K9、

CPS-UCSM4-2RU-K9、

KIN-UCSM5-1RU-K9

KIN-UCSM5-2RU-K9。

VSM 7.9 版本之前的軟件、以升級方式更新至 7.9 版本的軟件以及 VSM 軟件VMware ESXi 平臺不會受到此次漏洞的影響。

系統(tǒng)管理員不確定思科的 VSM 軟件是否已在其 UCS 平臺上安裝并運行，可以在登錄 Cisco Video Surveillance Operations Manager 軟件后通過檢查系統(tǒng)設(shè)置 > 服務(wù)器 > 常規(guī)選項卡中的型號字段進行檢查。

解決方案暫無

根據(jù)思科的說法，目前沒有任何已知的解決方法可以幫助思科視頻監(jiān)控管理器（VSM）軟件用戶緩解這一問題。該公司已發(fā)布安全更新。

建議所有擁有軟件許可證和被認(rèn)為易受攻擊的平臺的相關(guān)機構(gòu)進行升級，且可與思科技術(shù)支持中心（TAC）聯(lián)系以獲取更多詳細信息。