domingo, 24 de enero de 2016

Vulnerabilidades críticas en productos Cisco

Cisco ha publicado dos alertas para informar de sendas vulnerabilidades críticas en productos con software Cisco Modular Encoding Platform D9036, Cisco UCS Manager y FX-OS para Firepower 9000 que podrían permitir a atacantes remotos tomar el control de los sistemas afectados. 

Cisco Modular Encoding Platform D9036
El primero de los problemas (CVE-2015-6412) afecta a todos los productos con software Cisco Modular Encoding Platform D9036 con versiones anteriores a la 02.04.70. Una vez más reside en la existencia de una cuenta root configurada con una contraseña estática. Esta cuenta se crea en el momento de la instalación y no puede cambiarse ni eliminarse sin afectar a la funcionalidad del sistema. Un atacante podría aprovechar esta cuenta para acceder al dispositivo a través de SSH con privilegios de root.

Además de la cuenta root, también existe la cuenta "guest" (invitado) con contraseña estática aunque con privilegios limitados y que igualmente tampoco puede ser cambiada ni eliminada.

Una vez más, Cisco y el recurrente problema de las credenciales estáticas por defecto. Hace menos de una semana ya actualizó los puntos de acceso Cisco Aironet 1830e, 1830i, 1850e y 1850i por un problema similar. Otros productos como Cisco TelePresence Recording Server, Cisco NetFlow Collection Engine o Cisco Wireless Location Appliances también incluyeron cuentas administrativas con contraseñas por defecto. Es un problema que lleva persiguiendo a Cisco desde hace más de 10 años. Solo queda por pensar, qué más productos de Cisco incluyen alguna contraseña por defecto.

Por otra parte, una vulnerabilidad (CVE-2015-6435) en un script CGI del Cisco Unified Computing System (UCS) Manager y en los dispositivos Cisco Firepower 9000 Series podría permitir a un atacante remoto sin autenticar ejecutar comandos en los dispositivos afectados. El problema se debe a que no está protegida la llamada a comandos shell en el script CGI. Un atacante podrá explotar el problema a través de peticiones http específicamente construidas.

Cisco ha publicado las siguientes actualizaciones para todos los dispositivos afectados, disponibles desde Cisco Software Central:
Cisco Modular Encoding Platform D9036 versión 02.04.70
Tras la actualización será necesario modificar las contraseñas de las cuentas afectadas con los comandos set-root-password y set-guest-password.
Cisco UCS Manager 2.2(4b), 2.2(5a) y 3.0(2e)
Cisco Firepower 9000 Series 1.1.2

Más información:

Cisco Modular Encoding Platform D9036 Software Default Credentials Vulnerability

Cisco Unified Computing System Manager and Cisco Firepower 9000 Remote Command Execution Vulnerability

una-al-dia (14/01/2016) Actualizaciones para diversos dispositivos Cisco

una-al-dia (31/07/2011) Contraseña por defecto en Cisco TelePresence Recording Server

una-al-dia (13/10/2006) Contraseña por defecto en Cisco Wireless Location Appliances

una-al-dia (26/04/2007) Credenciales por defecto en Cisco NetFlow Collection Engine

una-al-dia (02/07/2015) Cisco tropieza de nuevo con una contraseña por defecto

una-al-dia (06/11/2015) Vulnerabilidades en dispositivos Cisco



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada