Cisco waarschuwt voor een kwetsbaarheid in zijn provisioningsoftware Prime Collaboration Provisioning (PCP). Een ongeautoriseerde, lokale aanvaller kan hiermee inloggen op het onderliggende Linux-besturingssysteem. Dit is mogelijk via een hardcoded accountwachtwoord op het systeem.
Door met een getroffen systeem verbinding te maken via Secure Shell (SSH) kan de aanvaller misbruik maken van het lek. Hierbij maakt hij dus gebruik van de hard-coded inloggegevens, een voorgeprogrammeerd standaard wachtwoord. Zo krijgt hij als een gebruiker met beperkte rechten toegang tot het onderliggende besturingssysteem.
Cisco ziet echter dat de aanvaller verder kan gaan na het verkrijgen van de beperkte toegang. Een cybercrimineel kan vervolgens namelijk rootrechten verkrijgen, om een apparaat volledig te kapen. Daarom spreekt het bedrijf over een kritieke kwetsbaarheid. Dit is wat anders dan de Common Vulnerability Scoring System (CVSS)-score van 5,9 die eigenlijk toegekend is aan het lek. Normaliter staat een 5,9 voor een medium-dreigingsniveau.
Het lek treft uitsluitend Cisco PCP versie 11.6, andere uitvoeringen lopen dit risico niet. In Cisco PCP 11.6 en 12.1 kunnen administrators vanuit de GUI controleren over welke release ze beschikken. Hiervoor dienen zij eerst in te loggen bij PCP, daarna op het instellingen-icoontje rechts bovenin te klikken en op over. Ook in het login-scherm treffen we release-informatie aan.
Oplossing
Het bedrijf heeft inmiddels software-updates uitgebracht om de kwetsbaarheid te verhelpen. Gebruikers kunnen alleen installeren en ondersteuning verwachten voor software-versie waarvoor ze een licentie gekocht hebben. In de meeste gevallen gaat het om een onderhoudsupgrade voor gekochte software. Gratis security software-updates leveren geen nieuwe licentie op, aanvullende features of grote veranderingen op.