Một cấu hình mặc định cho phép những kẻ tấn công truy cập đầy đủ vào quyền quản trị mà không bị xác thực.
Một lỗ hổng nghiêm trọng và chưa được vá trong phần mềm Cisco Small Business Switch được triển khai rộng rãi khiến cánh cửa mở ra cho những kẻ tấn công từ xa, không được kiểm duyệt để có toàn quyền kiểm soát thiết bị – và do đó là mạng.
Thiết bị chuyển mạch doanh nghiệp nhỏ của Cisco được phát triển cho môi trường văn phòng nhỏ và văn phòng tại nhà (SOHO), để quản lý và kiểm soát các mạng cục bộ nhỏ không quá một số máy trạm. Chúng có rất nhiều tùy chọn, dựa trên nền tảng đám mây, được quản lý và không được quản lý, và là một giải pháp giá cả phải chăng (dưới $ 300) cho các doanh nghiệp nhỏ thiếu tài nguyên.
Lỗ hổng (CVE-2018-15439), có mức độ nghiêm trọng CVSS cơ sở là 9,8, tồn tại do cấu hình mặc định trên các thiết bị bao gồm tài khoản người dùng đặc quyền, mặc định được sử dụng cho đăng nhập ban đầu và không thể xóa khỏi hệ thống . Quản trị viên có thể vô hiệu hóa tài khoản này bằng cách định cấu hình các tài khoản người dùng khác với đặc quyền truy cập được đặt thành cấp 15. Tuy nhiên, nếu tất cả tài khoản cấp 15 đặc quyền do người dùng định cấu hình bị xóa khỏi cấu hình thiết bị, nó sẽ kích hoạt lại tài khoản người dùng đặc quyền mặc định mà không cần thông báo cho quản trị viên hệ thống.
Trong những trường hợp này, kẻ tấn công có thể sử dụng tài khoản này để đăng nhập vào thiết bị bị ảnh hưởng và thực thi các lệnh với toàn quyền quản trị viên, Cisco Cisco giải thích trong lời khuyên vào thứ Tư. Cấm [Nó] có thể cho phép kẻ tấn công từ xa không được xác thực bỏ qua cơ chế xác thực người dùng của thiết bị bị ảnh hưởng.
Do các thiết bị chuyển mạch được sử dụng để quản lý mạng LAN, khai thác thành công có nghĩa là kẻ tấn công từ xa sẽ có quyền truy cập vào các chức năng bảo mật mạng như tường lửa, cũng như giao diện quản lý để quản lý kết nối thoại, dữ liệu và kết nối không dây cho các thiết bị mạng.
Cisco không có bản vá nào để giải quyết lỗ hổng, mặc dù người ta dự kiến sẽ có một số điểm (chưa được thông báo) trong tương lai, Cisco cho biết. Tuy nhiên, có một cách giải quyết đơn giản: Chỉ cần thêm ít nhất một tài khoản người dùng với đặc quyền truy cập được đặt thành cấp 15 trong cấu hình thiết bị.
Người dùng có thể định cấu hình tài khoản bằng cách sử dụng quản trị viên làm ID người dùng, đặt đặc quyền truy cập ở cấp 15 và xác định mật khẩu bằng cách thay thế <strong_password> bằng mật khẩu phức tạp do người dùng chọn, theo lời khuyên. Bằng cách thêm tài khoản người dùng này, tài khoản đặc quyền mặc định sẽ bị vô hiệu hóa.
Lỗ hổng này ảnh hưởng đến Cisco Small Business 200 Series Smart Switches, 250 Series Smart Switches, 300 Series Managed Switches, 350 Series Managed Switches, Cisco 350X Series Stackable Managed Switches, 500 Series Stackable Managed Switches and 550X Series Stackable Managed Switches.
Bên cạnh đó Cisco 220 Series và 200E Series Smart Switches không bị ảnh hưởng và cả các thiết bị chạy Cisco IOS Software, Cisco IOS XE Software or Cisco NX-OS Softwar, theo Cisco cho biết.
Đầu tháng 1, Cisco đã ban hành 18 bản sửa lỗi như là một phần của bản cập nhật hàng tháng, bao gồm hai lỗ hổng nghiêm trọng đối với một doanh nghiệp nhỏ khác – công cụ thiết bị bảo mật của nó. Hai lỗi, một nghiêm trọng và một mức độ nghiêm trọng, cuối cùng có thể dẫn đến sự từ chối dịch vụ (DoS) vĩnh viễn trên các thiết bị bị ảnh hưởng – và có thể bị khai thác bởi kẻ tấn công chỉ cần gửi email.