Hintertürchen in Ciscos Sicherheits-Management-Tool
Durch einen undokumentierten Zugang können Angreifer mit unprivilegiertem Account administrative Kontrolle über die Security-Suite MARS erlangen.
Ciscos Security Monitoring Analysis and Response System (CS-MARS) bis einschließlich Version 4.1.2 enthält einen undokumentierten Account mit Administratorrechten, der mit einem Standard-Passwort versehen ist.
Wie aus einem Cisco-Advisory hervor geht, ist der Account nicht über den integrierten SSH-Server zugänglich, sondern lediglich über das undokumentierte MARS-Kommando expert. Ein Angreifer benötigt somit einen unprivilegierten Zugang zum MARS-System, um sich die vollständige administrative Kontrolle über das Security-System verschaffen zu können.
Der Hersteller empfiehlt, betroffene Installationen über das Management-Interface oder die System-Konsole auf Version 4.1.3 zu aktualisieren und anschließend das voreingestellte Passwort mit dem MARS-Kommando passwd expert zu ersetzen.
Siehe dazu auch: (cr)
- Default Administrative Password in CS-MARS, Advisory von Cisco
