Los
boletines publicados por Cisco, tienen carácter crítico/importante, tratando una
ejecución de comandos arbitrarios en caso de Prime DCNM y una inyección SQL y denegación de servicio en caso de Unified MeetingPlace. Todas las
vulnerabilidades son explotables de forma remota.
El primero de los boletines describe
una vulnerabilidad que podría permitir
la ejecución de comandos arbitrarios en Cisco Prime Data Center Network Manager
(también conocido como Cisco Prime DCNM o simplemente DCNM). Se trata una
herramienta de administración y monitorización para centros de datos virtualizados.
En ella se integran dispositivos de red, almacenamiento y sistemas, y se
utiliza sobre todo para administrar plataformas Cisco y dispositivos con NX-OS.
Puede desplegarse en sistemas Windows y Linux.
La vulnerabilidad, con
identificador CVE-2012-5417, afecta a las versiones de este software anteriores
a la 6.1(1). Se debe a la exposición a usuarios no autorizados del servicio
MainDeployer del JBoss Application
Server Remote Method Invocation (RMI). A través de este, un atacante remoto sin autenticar podría
pasar comandos arbitrarios al sistema subyacente al DCNM, que se ejecutarían en
el contexto del usuario System o root dependiendo del sistema.
El segundo boletín describe dos
vulnerabilidades en Cisco Unified MeetingPlace Web Conferencing, una
herramienta de tele-presencia que permite realizar teleconferencias con audio y
vídeo. Afecta a las versiones anteriores a la 7, esta incluida, además de la
7.1, 8.0 y 8.5.
La primera y de mayor gravedad,
radica en una insuficiente validación de los parámetros pasados a través de una
petición HTTP POST, permitiendo a un
atacante remoto sin autenticar inyectar sentencias SQL en la petición, que
sería interpretadas por la base de datos de la aplicación. De esta manera, se
podría cambiar o eliminar datos referentes a la configuración, usuarios y uso
de la aplicación. Se le ha asignado el identificador CVE-2012-0337.
Con CVE 2012-5416, la segunda
vulnerabilidad trata otro fallo de validación. En este caso, un usuario remoto
sin autenticar podría provocar un
desbordamiento del búfer en la aplicación a través de la manipulando de
ciertos valores vulnerables en una petición HTTP POST. Esto provocaría que el
sistema dejara de responder, causando una denegación de servicio.
Cisco ha publicado en su sitio parches que solucionan las vulnerabilidades
en los sistemas afectados. En el caso de la vulnerabilidad en Prime DCNM,
recomienda además restringir las conexiones a los puertos TCP 1099 o 9099, en
los cuales comienzan las transacciones RMI, como contramedida temporal. En los
boletines, Cisco afirma no tener evidencias de la explotación pública de estas vulnerabilidades.
Más información
Cisco Prime
Data Center Network Manager Remote Command
Execution Vulnerability
Multiple Vulnerabilities in Cisco Unified
MeetingPlace Web Conferencing
Francisco López