Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:H/Au:S/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Cisco IOS
(System information)
Описание
В ПО Cisco IOS реализовано несколько способов шифрования паролей:
- Type 7. Используется простой алгоритм шифрования пароля. В сети Интернет имеется множество программ, способных восстанавливать подобные пароли за считанные секунды.
- Type 5. Используется 128-битный алгоритм хэширования MD5. Зная хэш MD5, невозможно восстановить входное сообщение, так как одному MD5-хэшу могут соответствовать разные сообщения.
- Type 0. Шифрование пароля не используется. Пароль пользователя можно узнать, просмотрев конфигурационный файл устройства.
Для паролей на линиях управления может использоваться только шифрование Type 7 или 0, что не обеспечивает достаточный уровень защиты паролей.
В качестве альтернативы предлагается отказаться от использования паролей на линиях управления в пользу учетных записей локальных пользователей, для которых применим алгоритм шифрования Type 5.
- Type 7. Используется простой алгоритм шифрования пароля. В сети Интернет имеется множество программ, способных восстанавливать подобные пароли за считанные секунды.
- Type 5. Используется 128-битный алгоритм хэширования MD5. Зная хэш MD5, невозможно восстановить входное сообщение, так как одному MD5-хэшу могут соответствовать разные сообщения.
- Type 0. Шифрование пароля не используется. Пароль пользователя можно узнать, просмотрев конфигурационный файл устройства.
Для паролей на линиях управления может использоваться только шифрование Type 7 или 0, что не обеспечивает достаточный уровень защиты паролей.
В качестве альтернативы предлагается отказаться от использования паролей на линиях управления в пользу учетных записей локальных пользователей, для которых применим алгоритм шифрования Type 5.
Как исправить
Не используйте пароли на линиях VTY:
hostname(config)#line vty {number}
hostname(config-line)#no pass
hostname(config-line)#no password
hostname(config)#line vty {number}
hostname(config-line)#no pass
hostname(config-line)#no password
Ссылки
