strano advisory di cisco
In quest'ultimo periodo, per progetti personali, sto smanettando un po' con roba Cisco. Magari un giorno mi offrono un lavoro e non vorrei farmi trovare impreparato, non si sa mai... :-)
By the way, leggendo quest'advisory:
http://www.cisco.com/warp/public/707/cisco-sa-20080313-ipm.shtml
dal titolo:
"CiscoWorks Internetwork Performance Monitor Remote Command Execution Vulnerability".
Ehm, remote! Quindi ho pensato fosse interessante dedicare altri due minuti. Leggendo la sezione "details":
CiscoWorks IPM is a troubleshooting application that gauges network
response time and availability. It is available as a component within the
CiscoWorks LAN Management Solution (LMS) bundle. IPM version 2.6 for Solaris
and Windows contains a process that causes a command shell to automatically be bound to a randomly selected TCP port. Remote, unauthenticated users are able to connect to the open port and execute arbitrary commands with casuser privileges
on Solaris systems and with SYSTEM privileges on Windows systems. This
vulnerability is documented in CVE-2008-1157 and Cisco Bug ID CSCsj06260
( registered customers only) .
Quindi ricapitolando:
- un processo (il nome di questo processo, pardon?),
- una "command shell" che automaticamente resta in ascolto sua una porta randomica in TCP
- un utente - remoto! - non utenticato che riesce ad eseguire comandi
Questa, a casa mia, si chiama backdoor.
0 commenti:
Posta un commento