Abgelaufene Passwörter gefährden Cisco Unity Express
Am Management-Webinterface angemeldete Benutzer können ihre Rechte ausweiten, indem sie abgelaufene Passwörter anderer Konten neu setzen.
Cisco hat eine Sicherheitsmeldung zu dem Voice-over-IP-Modul Unity Express (CUE) für Cisco-Router herausgegeben. Laut der Meldung können am Webinterface zum Systemmanagement angemeldete Benutzer Passwörter anderer Konten neu setzen, wenn diese abgelaufen sind.
So könnte ein authentifizierter Benutzer das Passwort eines Administratorkontos neu setzen, wenn es leer oder abgelaufen ist. Ciscos Unity Express kann so konfiguriert werden, dass Passwörter nach einem bestimmten Zeitraum ablaufen. Außerdem werden leere oder per Zufallsgenerator erzeugte Initalpasswörter vom System als abgelaufen betrachtet.
Ein unpriviligierter Benutzer könnte durch Ausnutzen der Lücke beispielsweise an vertrauliche Informationen gelangen, die in gespeicherten Voicemails enthalten sind. Weiterhin könnte ein Angreifer die Texte eines automatischen Sprachsteuerungssystems verändern und so einen Imageschaden des Unternehmens provozieren.
Betroffen sind alle CUE-Versionen bis einschließlich Version 2.2. Die Version 2.3 schließt die Lücke, alternativ stellt Cisco in der Sicherheitsmeldung Umgehungsmaßnahmen über angepasste Zugriffsrechte (ACLs, Access Control Lists) vor.
Siehe dazu auch: (dmk)
- Cisco Unity Express Expired Password Reset Privilege Escalation, Sicherheitsmeldung von Cisco
