Уязвимость в Cisco Integrated Management Controller (IMC) Supervisor, Cisco UCS Director и Cisco UCS Director Express для Big Data может по…
Уязвимость в Cisco Integrated Management Controller (IMC) Supervisor, Cisco UCS Director и Cisco UCS Director Express для Big Data может позволить не прошедшему проверку подлинности удаленному злоумышленнику войти в CLI затронутой системы, используя учетную запись SCP User (scpuser), которая имеет учетные данные пользователя по умолчанию. Уязвимость связана с наличием задокументированной учетной записи по умолчанию с незадокументированным паролем по умолчанию и неправильными настройками разрешений для этой учетной записи. Изменение пароля по умолчанию для этой учетной записи не применяется во время установки продукта. Злоумышленник может воспользоваться этой уязвимостью, используя учетную запись для входа в затронутую систему. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды с привилегиями учетной записи scpuser. Это включает полный доступ для чтения и записи к базе данных системы.
Продукт содержит жёстко запрограммированные учётные данные, такие как пароль или криптографический ключ.
https://cwe.mitre.org/data/definitions/798.html →Открыть в коллекции CWE →Злоумышленник может пробовать определённые распространённые или стандартные имена пользователей и пароли для получения доступа к системе и выполнения несанкционированных действий. Злоумышленник может применять интеллектуальный перебор с использованием пустых паролей, известных заводских учётных данных, а также словаря распространённых имён пользователей и паролей. Многие продукты поставляются с предустановленными стандартными (и, следовательно, общеизвестными) учётными данными, которые следует удалить перед вводом в производственную эксплуатацию. Забыть удалить эти стандартные учётные данные — распространённая ошибка. Кроме того, пользователи нередко выбирают очень простые (распространённые) пароли (например, «secret» или «password»), что существенно облегчает злоумышленнику задачу по сравнению с использованием полноценного перебора или даже словарной атаки.
https://capec.mitre.org/data/definitions/70.html →Открыть в коллекции CAPEC →Нет описания.
https://capec.mitre.org/data/definitions/191.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| integrated_management_controller_supervisor | * | Отслеживается |
| ucs_director | * | Отслеживается |
| ucs_director_express_for_big_data | * | Отслеживается |