Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Revelación de información sensible en Cisco VPN 3000

Revelación de información sensible en Cisco VPN 3000

Por Deja un comentario

Se ha descubierto una debilidad en el concentrador Cisco VPN 3000
que puede ser explotada por usuarios maliciosos para conseguir acceso
a cierta información.

El problema se debe a que dicho dispositivo devuelve respuestas
diferentes dependiendo de si se ha dado un nombre válido de grupo
o no cuando está configurado para autenticar nombres de grupo.

Una vez se ha conseguido un nombre válido de grupo, puede facilitar
las cosas para conseguir el hash de la clave del grupo.

Se recomienda tanto actualizar a la versión 4.1.7.F o posterior como
utilizar un método alternativo de autenticación.

Julio Canto
jcanto@hispasec.com

Más información:

Cisco VPN Concentrator Groupname Enumeration Vulnerability
http://www.nta-monitor.com/news/vpn-flaws/cisco/VPN-Concentrator/index.htm

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.