近日思科(Cisco)在安全通告中表示，旗下的Unified Communications Domain Manager(Cisco Unified CDM)含有3個(gè)安全漏洞。其中一個(gè)漏洞原本是為了方便思科進(jìn)行客戶服務(wù)所留的后門，然而一旦被濫用，所有客戶系統(tǒng)都會(huì)面臨危險(xiǎn)。

Unified Communications Domain Manager為一企業(yè)專用的通訊管理軟件平臺(tái)，可自動(dòng)化管理Cisco Unified Communications Manager、 Cisco Unity Connection及Cisco Jabber等應(yīng)用程序，以及相容的手機(jī)或客戶端軟件。思科在該軟件平臺(tái)上發(fā)現(xiàn)了3個(gè)安全漏洞，分別是權(quán)限擴(kuò)張漏洞、預(yù)設(shè)SSH密鑰漏洞，以及BVSMWeb擅自操作資料漏洞等。

其中，權(quán)限擴(kuò)張漏洞是因管理介面的認(rèn)證與授權(quán)控制部署不當(dāng)，讓黑客能夠更改使用者的管理憑證，但黑客必須先以有效的使用者身份登入才行。而預(yù)設(shè)SSH密鑰漏洞源自于SSH私密密鑰是以不安全的方式儲(chǔ)存于系統(tǒng)上，使得黑客有機(jī)會(huì)取得SSH私密密鑰，并得以最高權(quán)限存取系統(tǒng)，被視為非常危險(xiǎn)的漏洞。

美國(guó)系統(tǒng)網(wǎng)路安全研究院(SANS Institute)指出，思科為了方便提供客戶支持，在系統(tǒng)上留了一個(gè)后門，于所有的系統(tǒng)上配備同樣的密鑰，由于該密鑰也存在于客戶的系統(tǒng)上，代表?yè)碛性撓到y(tǒng)的人，就擁有能夠存取所有其他系統(tǒng)的密鑰。SANS還認(rèn)為這應(yīng)該是會(huì)最先被攻擊的漏洞。

本周思科已發(fā)布更新程序修補(bǔ)權(quán)限擴(kuò)張及預(yù)設(shè)SSH密鑰漏洞。至于BVSMWeb擅自操作資料漏洞則可允許黑客存取或修改BVSMWeb入口網(wǎng)站的使用者資訊，諸如個(gè)人手機(jī)目錄中的設(shè)定、快速播號(hào)或快速鍵或轉(zhuǎn)接等設(shè)定，思科表示會(huì)盡快修補(bǔ)該漏洞。