Cisco heeft een patch uitgebracht voor zijn Video Surveillance Manager. In de software zat een fout, waardoor credentials hardcoded in het root-account zaten. Hackers konden daardoor een getroffen systeem besturen als een root-gebruiker, mochten ze de credentials ontdekken.

Cisco raadt beheerders van applicaties die op de surveillance-software draaien aan om de patch zo snel mogelijk te installeren, meldt ZDNet. De fout bestaat omdat het de credentials van het root-account en de standaard credentials niet uitschakelt voor de software geïnstalleerd wordt. De credentials zijn niet openbaar gemaakt.

“De kwetsbaarheid is ontstaan door de aanwezigheid van ongedocumenteerde, standaard, statische gebruikers-credentials voor het root-account van de getroffen software op sommige systemen”, aldus het bedrijf. “Een hacker kan deze kwetsbaarheid misbruiken door het account te gebruiken om in te loggen op het getroffen systeem. Een succesvolle exploit kan de hacker in staat stellen om in te loggen en commando’s uit te voeren als de root-gebruiker.”

De fout genaamd CVE-2018-15427 treft eerder geïnstalleerde instances van Cisco Video Surveillance Manager Software versies 7.10, 7.11 en 7.11.1, op vier van de Connected Safety and Security Unified Computing System-appliances. De getroffen modellen zijn onder meer CPS-UCSM4-1RU-K9, CPS-UCSM4-2RU-K9, KIN-UCSM5-1RU-K9 en KIN-UCSM5-2RU-K9.

Linux

Het is niet voor het eerst dat een dergelijke fout in software van Cisco gevonden wordt. In maart werd er een patch uitgebracht voor een vergelijkbaar probleem in IOS XE. Vorige week werd bekend dat die fout ook IOS XE-software die op Cisco’s Integrated Services Virtual Router draait treft.

Dit jaar verwijderde het bedrijf diverse fouten waarbij wachtwoorden hardcoded in de software stonden. De fouten werden onder meer gevonden in het Digital Network Architecture Center en Cisco Prime Collaboration Provisioning.