Cisco se ha dado cuenta recientemente de que su software Unified Communicatios Domain Manager (Unified MDL) contiene una cuenta con privilegios por defecto con una contraseña estática que no se puede cambiar, dejando al descubierto la plataforma a la piratería por atacantes externos y remotos.
El MDL Cisco Unified es parte del Sistema de Colaboración de Cisco Hosted y proporciona funciones administrativas y de automatización para el administrador de Comunicaciones Unificadas de Cosco, Cisco Unity Connection, aplicaciones Cisco Jabber, teléfonos asociados y clientes de software.
La cuenta privilegiada se crea cuando Unificado MDL se instala primero y no puede ser modificado o eliminado sin afectar la funcionalidad del sistema – aunque Cisco Unified no explicó exactamente cómo, en su aviso de seguridad. La única solución, dijo la compañía, es instalar los parches que liberan.
Si el defecto se deja sin fijar, un atacante remoto podría potencialmente acceder a la plataforma a través de SSH e iniciar sesión con esta cuenta por defecto, que tiene privilegios de root. Esto les proporciona un control total del sistema afectado.
Cisco Unified le asigna la mayor puntuación posible en la escala de gravedad – 10 – a la vulnerabilidad basada en el Common Vulnerability Scoring System (CVSS). Esto significa que la explotación es fácil y puede llevar a un compromiso completo de la confidencialidad, la integridad del sistema y disponibilidad.
La vulnerabilidad se fijó en el software de la versión CDM unificada 4.4.5, pero las revisiones también están disponibles para las versiones 4.4.3 y 4.4.4 para los clientes con contratos de soporte.
El problema fue descubierto por Cisco durante las pruebas de seguridad interna. Si quieres comprar Cisco, ahora es un buen momento.
Por defecto las cuentas administrativas con contraseñas estáticas no modificables son un problema grave, pero no son una nueva ocurrencia en redes y otros dispositivos de hardware. Son el resultado de las decisiones de diseño en un momento en que la seguridad no jugó un papel importante en el desarrollo de productos.
 contiene una cuenta con privilegios por defecto){kind=link}