思科发布安全更新修复交换机高危漏洞竟使用硬编码的调试账户

思科发布安全公告说明近期发现和修复的安全漏洞，据公告说明思科竟然也在某些设备里使用硬编码的调试账户。

所谓硬编码调试账户指的是将账户和密码直接写死在固件里，因此任何人发现这个账户和密码均可直接登录设备。

而且这类调试账户通常拥有极高的权限可以用来做任何事，使用思科设备的企业建议查看安全公告尽早修复漏洞。

除硬编码调试账户外思科还有配套软件重复使用静态的SSH密钥，攻击者可以从控制系统里提取密钥而发起攻击。

硬编码调试账户问题影响的是思科无源光网络系列交换机的光网络终端，该漏洞可能会对设备造成严重安全影响。

要利用此漏洞必须使用易受攻击的设备建立TELNET会话使用硬编码的调试账户登录 , 所幸TELNET默认并未开启。

这可以影响攻击者能够利用的设备数量降低攻击范围，尽管如此这枚CVE-2021-34795的CVSS 评分也达到10分。

受影响的设备包括 CGP-ONT-1P、4P、4PV、4PVC、4TVCW 交换机，企业管理员请尽快下载新固件修复漏洞。

另外思科确认该漏洞不会影响CGP-OLT-8T/16T，具体受影响的设备以及相关固件下载请点击这里查看安全公告。

还有个关键漏洞是思科策略套件(Cisco Policy Suite)中默认的SSH密钥，该套件在安装时重复使用静态SSH密钥。

攻击者则可以从控制的系统里提取密钥来利用此漏洞 , 未经验证的远程攻击者可以以root账户登录受影响的系统。

思科策略软件21.2.0及更高版本将在安装过程中自动创建新的SSH密钥，但不会在升级过程中创建新的SSH密钥。

要想生成新的密钥并将其覆盖到所有设备，企业管理员可以参考思科安全公告中的固定版本部分提供的操作步骤。