У камутатарах Cisco Catalyst серыі PON CGP-ONT-* (Passive Optical Network) выяўлена крытычная праблема з бяспекай (CVE-2021-34795), якая дазваляе пры ўключэнні пратаколу telnet падлучыцца да камутатара з правамі адміністратара, выкарыстоўваючы загадзя вядомую адладкавую вучоную у прашыўцы. Праблема праяўляецца толькі пры актывацыі ў настройках магчымасці доступу праз telnet, які адключаны па змаўчанні.
Акрамя наяўнасці ўліковага запісу з загадзя вядомым паролем у разгляданых мадэлях камутатараў таксама выяўлены дзве ўразлівасці (CVE-2021-40112, CVE-2021-40113) у web-інтэрфейсе, якія дазваляюць неаўтэнтыфікаванаму атакаваламу, не дасведчанаму параметры ўваходу, не дасведчана параметры ўваходу, унесці змены ў налады. Па змаўчанні доступ да web-інтэрфейсу дазволены толькі з лакальнай сеткі, калі дадзеныя паводзіны не перавызначана ў наладах.
Адначасова падобная праблема (CVE-2021-40119) з наканаваным інжынерным уваходам выяўлена ў праграмным прадукце Cisco Policy Suite, у якім выраблялася ўстаноўка загадзя падрыхтаванага вытворцам SSH-ключа, які дазваляе выдаленаму зламысніку атрымаць доступ да сістэмы з правамі root.
Крыніца: opennet.ru