注意!思科Aironet 1830和1850系列存在硬编码密码,请尽快修复!-阿里云开发者社区

开发者社区> 玄学酱> 正文

注意!思科Aironet 1830和1850系列存在硬编码密码,请尽快修复!

简介: 本文讲的是注意!思科Aironet 1830和1850系列存在硬编码密码,请尽快修复!,2015年,思科推出了针对中、小网络规模快速部署无线网络的Mobility Express无线网络解决方案
+关注继续查看
本文讲的是注意!思科Aironet 1830和1850系列存在硬编码密码,请尽快修复!2015年,思科推出了针对中、小网络规模快速部署无线网络的Mobility Express无线网络解决方案,它可以使用任意无线设备连接到Aironet 1850或1830无线接入点中。但是就在近日,安全研究人员发现,由IT巨头思科开发的Mobility Express软件附带的Aironet 1830和1850系列接入点中存在硬编码的管理级SSH密码。

 注意!思科Aironet 1830和1850系列存在硬编码密码,请尽快修复!

安全公告写道,

思科Mobility Express软件中运行的Aironet 1830和1850系列接入点中的漏洞可能会允许未经身份验证的远程攻击者获取受影响设备的完全控制权。该漏洞是由于运行思科Mobility Express软件的受影响设备中存在默认凭证,攻击者远程利用受影响设备的第三层连接(layer 3 connectivity)就可以使用安全Shell(SSH)来提升权限登录设备。如果攻击者充分利用该漏洞将能够获取受影响设备的完全控制权。

注意!思科Aironet 1830和1850系列存在硬编码密码,请尽快修复!

想要知道自己设备上运行的是哪个版本的思科Mobility Express软件,你可以使用思科Mobility Express无线控制器Web界面或CLI进行检测。版本号可以在“管理” >“软件更新”选项下的Web界面中找到。

根据该公司发布的安全公告显示,该安全漏洞会影响运行思科Mobility Express软件8.2.x版本(8.2.111.0.版本之前)的所有接入点,不管该设备是被配置为主机、附属设备还是独立的接入点均无法幸免。

目前,思科公司已经发布了免费的软件更新程序,修复了安全公告中描述的漏洞。各位用户还需尽快进行下载安装,避免给攻击者可乘之机。

与Aironet技术相关的其他安全问题还有:

思科无线局域网控制器(WLC)中的输入验证错误;
 WLC中的一个IPv6 UDP拒绝服务(DoS)漏洞;
 WLC管理GUI中的一个DoS漏洞。

针对上述问题,思科也已经发布了安全更新程序进行修复,用户们可以关注思科公司的最新安全动态,尽快进行修复处理。

思考:硬编码密码仍是一项关键性安全缺陷 

从瞻博到Fortinet再到思科,众多企业的在售解决方案都包含着硬编码通行码,而这或将给企业客户带来严重的安全风险。但是遗憾的是,硬编码密码属于一项难以解决的内在问题,目前还没有一种理想的解决办法。

目前,各大网络设备制造商已经成为其主要目标,专门负责软件评估与代码审计的Casaba Security公司联合创始人Chris Weber指出,已发布产品中的密码能够被轻易找到,因为它们会随产品一同放出。某些能够访问该产品的人完全可以对固件或者软件进行分解,从而轻松找出密码内容。这种内置密码藏得不深,剖析起来也很容易。

他表示,虽然没有办法彻底解决这一问题,但是通过提出以下五个与硬编码密码相关的问题向供应商施加压力,可以一定程度上提升安全性:

该供应商是否聘请了第三方进行源代码审计?
审计结果是否可供查阅?
该供应商的开发项目安全性如何?
该供应商是否在产品中采用了渗透测试?
该供应商是否有能力在密码丢失的情况下实现设备恢复?

一般来讲,渗透测试能够发现被写入至源代码当中的密码内容,而Weber指出,

无论这些密码是有意还是无意被发布出来,这都是种很差的习惯。归根结底,我们需要立足于安全考虑问题:而安全就是便捷性的对立面。安全就像一道路障,总会横亘在捷径前面。

Palo Alto Networks公司42部门威胁情报主管Ryan Olson指出,设备在企业环境下扮演的角色将决定密码给安全性造成的风险水平。最糟糕的场景就是,该设备能够对网络内某重要部分进行控制,而该密码又允许访问者顺利接入设备的全部功能。

有时候,硬编码密码的作用只供初始设置使用。但是如果该密码被用于默认账户,那么其基本上就是供第一位安装该设备的用户使用,在此之后这位用户应当将该账户移除。不过这些默认账户往往没有被正确移除,而Olson建议称对设备进行审计能够帮助大家了解这些默认账户的存在。




原文发布时间为:2017年4月11日
本文作者:小二郎 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
在C#“.NET技术”中选择正确的集合进行编码
  要选择正确的集合,我们首先要了解一些数据结构的知识。所谓数据结构,就是相互之间存在一种或多种特定关系的数据元素的集合。上海网站建设结合下图,我们看一下对集合的分类。   集合分类   在上图中,可以看到,集合总体上分为线性集合和非线性集合。
665 0
duilib 修复padding属性导致其他控件自动计算宽高度错误的bug和导致自己宽高度错误的bug
转载请说明原出处,谢谢~~:http://blog.csdn.net/zhuhongshu/article/details/42950733          BUG 一:padding导致其他控件宽度计算错误             今天在写项目的一个布局时,用到了最常用的相对布局属性padding:在一个纵向容器里,给其中的各个子元素设置了padding属性来做相对布局。
1097 0
一起谈.NET技术,VS2010 测试功能之旅:编码的UI测试(4)-通过编写测试代码的方式建立UI测试(上)
  回顾   在之前的入门篇系列中,分别介绍了一个简单的示例, 操作动作的录制原理,通过修改UIMap.UItest文件控制操作动作代码的生成,对象的识别原理。接下来正式进入我们UI测试的进阶篇,在这一章,将讲述如何初步通过自己编写代码的方式来建立UI测试。
717 0
利用 LibWebP-NET 解码与编码 WebP 格式图片
原文:利用 LibWebP-NET 解码与编码 WebP 格式图片 WebP 格式是谷歌开发并发展的一种最新的网络图片格式,具有压缩率高、解码快、免版权、开源等优点。 大部分先进的网页浏览器、图片浏览器都支持该格式,Windows用户可以通过安装 WebP Codec for Windows 在系统中查阅WebP图片。
1667 0
【转】BarTender与ASP.NET的集成小结(条码标签打印编程)
话说自从上次发了篇NHibernate的资料后,好久没有写东西了,半年来一直在忙一个项目,做完项目后,发现很多东西虽然当时做了,懂了,但是很快就会模糊了,于是又再想起总结的重要性~~没啥地方好放资料的,放在博客园也是一个不错的选择~~   本人也是新手,写的不好的地方,请多原谅。
1883 0
一起谈.NET技术,VS2010 C++下编译调试MongoDB源码
  考虑到mongodb使用了boost库源码,参考mongodb官方文档后,下载编译boost版本是1.42(时间为2010-2-2)或更新版本:  boost版本1.42:  http://sourceforge.net/projects/boost/files/boost/1.42.0/boost_1_42_0.zip/download         下载boost源码之后,我把boost解压在D盘。
978 0
一起谈.NET技术,VS2010测试功能之旅:编码的UI测试(3)-操作对象的识别原理
  回顾    在之前的两章分别介绍了一个简单的示例, 操作动作的录制原理,通过修改UIMap.UItest文件控制操作动作代码的生成。想必大家对编码的UI测试操作动作的录制应该有一定了解了,在UI操作中,操作动作总是离不开具体的操作对象,例如点击,拖动,填写值等操作,总是要对文本框,或者按钮,窗体这些对象进行操作,不是凭空生成的。
725 0
MySQL修改复制用户及密码
    在生产环境中有时候需要修改复制用户账户的密码,比如密码遗失,或者由于多个不同的复制用户想统一为单独一个复制账户。对于这些操作应尽可能慎重以避免操作不同导致主从不一致而需要进行修复。
828 0
duilib 修复Text控件无法设置宽度的bug,增加自动加算宽度的属性
转载请说明原出处,谢谢~~:       今天有朋友反映CTextUI控件无法设置宽度,于是修复了这个bug,顺便给Text控件增加了一个自动计算宽度的属性,描述如下       bug出现在EstimeteSize函数,...
925 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
20710
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载