未來的安全要用單SSH密鑰
紅著臉不好意思的思科推出一個補丁,皆因有些虛擬安全設備的SSH密鑰用了硬編碼的方法。
由于密鑰是與虛擬設備遠程管理接口關聯(lián)的,攻擊者成功登錄后 就可以在設備里到處轉悠。俗稱博格的思科日前宣布,旗下的網絡安全網關(WSAv)、電子郵件安全網關(ESAV)以及安全管理網關(SMAv)等虛擬設備在遠程支持服務里用的是默認密鑰。
這些虛擬設備的默認授權SSH密鑰和SSH主機密鑰是硬編碼的。
與此有關的安全公告指,“一旦有心人與受影響的平臺上的管理接口建立了IP地址連接就可以利用這些產品的這個漏洞。無需額外的配置就可以利用該漏洞。”
思科為該漏洞推出了一個補丁(“cisco-sa-20150625-ironport SSH Keys Vulnerability Fix”),并表示所有6月25日以前的版本需要打補丁進行修復。該補丁刪除預裝密鑰并強制重置。
安全公告還表示,“2015年6月25日以后下載或升級的物理硬件設備,或虛擬設備無需打補丁。”
思科在給在WSAv、ESAV和SMAv鏡像打補丁期間關掉了下載,但稱新的版本會在“在幾天內”公布,以期令客戶可以在規(guī)劃內更新時間表里更新。