Isu keselamatan kritikal (CVE-2021-34795) telah dikenal pasti dalam suis siri Cisco Catalyst PON CGP-ONT-* (Rangkaian Optik Pasif), yang membolehkan, apabila protokol telnet didayakan, menyambung kepada suis dengan hak pentadbir menggunakan akaun nyahpepijat yang telah diketahui yang ditinggalkan oleh pengilang dalam perisian tegar. Masalah hanya muncul apabila keupayaan untuk mengakses melalui telnet diaktifkan dalam tetapan, yang dilumpuhkan secara lalai.
Selain kehadiran akaun dengan kata laluan yang diketahui sebelum ini, dua kelemahan (CVE-2021-40112, CVE-2021-40113) dalam antara muka web juga dikenal pasti dalam model suis yang dipersoalkan, membenarkan penyerang tidak disahkan yang tidak mengetahui parameter log masuk untuk melaksanakan arahan dengan akar dan membuat perubahan pada tetapan. Secara lalai, akses kepada antara muka web hanya dibenarkan daripada rangkaian tempatan, melainkan tingkah laku ini ditindih dalam tetapan.
Pada masa yang sama, masalah yang sama (CVE-2021-40119) dengan log masuk kejuruteraan yang telah ditetapkan telah dikenal pasti dalam produk perisian Cisco Policy Suite, di mana kunci SSH yang disediakan terlebih dahulu oleh pengilang telah dipasang, membenarkan penyerang jauh memperoleh akses kepada sistem dengan hak root.
Sumber: opennet.ru