jueves, 3 de julio de 2014

Vulnerabilidades en Cisco Unified Communications Domain Manager

Cisco ha publicado un aviso de seguridad en el que informa de la existencia de tres vulnerabilidades de diversa índole en Cisco Unified Communications Domain Manager que podrían permitir a atacantes modificar configuraciones o tomar el control de los sistemas afectados.

Cisco Unified Communications Domain Manager (Cisco Unified CDM) es una plataforma de distribución de servicios y gestión que proporciona funciones de automatización y administración sobre Cisco Unified Communications Manager, Cisco Unity Connection y aflicciones Cisco Jabber, así como sobre los teléfonos asociados y clientes de software.

Cisco Unified Communications Domain Manager (Cisco Unified CDM) se ve afectado por tres vulnerabilidades. El primero de los problemas, con CVE-2014-2197, reside en una implementación inadecuada de los controles de autenticación y autorización de la interfaz de administración. Un atacante remoto autenticado podría elevar sus privilegios y conseguir permisos administrativos a los sistemas con versiones Cisco Unified CDM Application Software anteriores a 8.1.4.

Por otra parte, los sistemas Cisco Unified CDM Platform con versiones de software anteriores a 4.4.2 almacenan de forma insegura una clave privada SSH, lo que podría permitir a un atacante obtener dicha clave. Esta vulnerabilidad (CVE-2014-2198) podría permitir a un atacante remoto conectarse mediante una cuenta de soporte sin ninguna autenticación. Un exploit podría permitir al atacante conseguir acceso al sistema con los privilegios de usuario root.

Por último, se ha detectado una implementación inadecuada de los controles de autenticación y autorización al acceder a determinadas páginas del portal BVSMWeb (CVE-2014-3300). Mediante el envío de una URL específicamente creada al sistema un atacante podría acceder y modificar información de usuarios del portal BVSMWeb, como configuraciones del directorio de teléfonos personal, llamadas rápidas, número directo y reenvío de llamadas. Esta vulnerabilidad afecta a versiones de software anteriores a la 10.

Cisco ha publicado actualizaciones gratuitas para corregir estas vulnerabilidades

Más información:

Multiple Vulnerabilities in Cisco Unified Communications Domain Manager




Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada