思科驚爆重大漏洞,不用打密碼就能取得管理員權限,IT 們快更新啊!

上星期,知名網路解決方案提供者思科(CISCO)在 自家官方網站 上發布公告,宣布旗下的 Elastic Services Controller 軟體出現嚴重漏洞,使用者在服務入口頁面可在無需密碼的狀況下直接遠端操作具備管理員權限的所有動作,影響層面甚廣。

安全限制失誤,「密碼輸入框留白就能登入」

根據官方網站的敘述,這個被思科命名為漏洞編號 CVE-2018-0121 的報告指出,在思科自家的 Elastic Services Controller 軟體版本 3.0.0 中,由於設計上的失誤,沒有適當的安全限制機制,當使用者來到入口頁面進行操作,而該頁面跳出管理員密碼確認視窗時,使用者只須在密碼欄位留白並直接送出,就能取得管理員權限。

取得之後,使用者便可遠端操作所有的管理員權限,對系統安全造成嚴重問題。

思科官方網站安全報告。
思科官方網站安全報告

思科:除了更新以外沒有其他解決方法

目前,斯刻已經緊急釋出更新軟體版本 3.1.0,並且在網站上標明,現階段除了更新系統以外,沒有其他方法可以修部這個漏洞,也呼籲相關受影響的使用者盡速檢查自己的系統版本,並且更新至上述最新版本號。

─ ─

參考資料來源:
思科官方網站:Cisco Elastic Services Controller Service Portal Authentication Bypass Vulnerability
iThome: 思科 Elastic Services Controller 爆重大漏洞,免密碼就能取得管理員權限

(本文提供合作夥伴轉載,首圖來源:Flickr,CC Licensed。)

還有哪些重大的資安事件?

超實用查詢網站,一秒知道自己的密碼是否被外洩!
聯想 ThinkPad 資安爆漏洞,指紋辨識竟然能被一組「萬用密碼」破解?
警察不能逼我交出手機密碼,卻能用我的指紋與臉直接解鎖?
Mac 資安漏洞讓你也能當駭客:帳號輸入 root,連戳 Enter 就能破解密碼!


點關鍵字看更多相關文章: