Компания Cisco исправляет критическую уязвимость в Cisco Emergency Responder (CER). Забытые в коде жестко закодированные учетные данные позволяли неаутентифицированным злоумышленникам входить в уязвимые системы.
CER предназначен для работы с Cisco Unified Communications Manager и используется организациям для реагирования на чрезвычайные ситуации, обеспечивая точное отслеживание местоположения звонящего в режиме реально времени, перенаправляя экстренные вызовы в соответствующий пункт дежурно-диспетчерской службы, а также автоматически уведомляя сотрудников службы безопасности о местонахождении звонящего.
Уязвимость, получившая идентификатор CVE-2023-20101 (9,8 балла по шкале CVSS), позволяла злоумышленникам получить удаленный доступ к целевому устройству через использование учетной записи root, которая имела жестко закодированные учетные данные по умолчанию (которые к тому же нельзя было изменить или удалить).
Разработчики сообщили, что эти учетные данные были «зарезервированы для использования во время разработки», но потом, по всей видимости, они были забыты в коде.
«Злоумышленник может воспользоваться этой уязвимостью, используя учетную запись для входа в уязвимую систему. Успешная эксплуатация может позволить войти в уязвимую систему и выполнить произвольные команды от имени пользователя root», — сообщает Cisco.
Баг затрагивает как минимум одну конкретную версию Cisco Emergency Responder — 12.5(1)SU4. При этом предыдущие версии, 11.5(1) и более ранние, а также новейшая версия (14) проблеме не подвержены.
Подчеркивается, что проблема была обнаружена в ходе внутренней проверки, самими специалистами Cisco, и компании неизвестно о случаях использования этой уязвимости злоумышленниками.