思科视频监控管理器允许攻击者以root身份登录漏洞

思科发布了一份公告，其中披露了其视频监控管理器设备中的漏洞，该漏洞可能允许未经身份验证的攻击者使用默认的静态凭据获取root访问权限。

出现安全问题是因为思科安装软件后未启用未记录的默认root帐户凭据。

此外，在被成功利用后，该漏洞使攻击者能够以root用户身份执行任何命令。

该漏洞会影响某些思科互联安全和安全统一计算系统（UCS）平台上预装的思科视频监控管理器（VSM）软件7.10,7.11和7.11.1，并允许远程攻击者使用静态登录用户凭据作为root帐户。

此外，受影响的UCS平台是CPS-UCSM4-1RU-K9，CPS-UCSM4-2RU-K9，KIN-UCSM5-1RU-K9和KIN-UCSM5-2RU-K9。

思科已针对其默认密码漏洞通报中列出的所有漏洞发布了安全更新

系统管理员不确定Cisco的VSM软件是否已在其UCS平台上安装并运行，可以在登录Cisco Video Surveillance Operations Manager软件后通过检查系统设置>服务器>常规选项卡中的型号字段进行检查。

根据思科的说法，没有任何已知的解决方法可以帮助思科视频监控管理器（VSM）软件用户缓解这一问题。

该公司已宣布已发布安全更新，以影响在易受攻击的UCS平台上运行的VSM软件。

建议所有拥有软件许可证和被认为易受攻击的平台的客户进行升级，并鼓励他们与思科技术支持中心（TAC）或其维护提供商联系以获取更多详细信息。