Cisco ha publicado un aviso de seguridad en el que informa de la existencia de múltiples vulnerabilidades de diversa índole en Cisco Unified Communications Manager 9.1(2) (y versiones anteriores) que podrían permitir a un atacante remoto tomar el control de los sistemas afectados.
Cisco Unified Communications Manager es el componente de procesamiento de llamadas de la solución de telefonía IP de Cisco (Cisco IP Telephony).
Las dos primeras vulnerabilidades consisten en sendos problemas de inyección SQL ciega (blind SQL injection). La primera de ellas (con CVE-2013-3404) puede explotarse por un atacante remoto sin autenticar, y puede permitir el uso de metadatos para recrear información cifrada en la base de datos. Estos metadatos podrán usarse para reconstruir las credenciales de acceso cifradas. El segundo problema de inyección de comandos SQL «a ciegas» (CVE-2013-3412) requiere la autenticación para poder explotarse y puede permitir modificar o insertar datos en algunas tablas de la base de datos.
Por otra parte, los Cisco Unified Communications Manager incluyen la llave de cifrado empleada para el cifrado de datos sensibles almacenados en la base de datos y para la securización de las comunicaciones CTI (Computer Telephony Integration), directamente incrustada en su código fuente.
Por lo tanto se está usando la misma clave de cifrado para todas las instalaciones de Cisco Unified CM. Un atacante podría explotar esto para descifrar información sensible mediante el uso de la clave secreta, con lo que podría obtener incluso credenciales de usuario.
Otra vulnerabilidad (con CVE-2013-3402) reside en una validación inadecuada de los datos introducidos por parte del usuario, que podría permitir a un atacante remoto autenticado ejecutar comandos.
Por ultimo, se confirman tres vulnerabilidades (CVE-2013-3403, CVE-2013-3434 y CVE-2013-3433) que podrían permitir a un atacante local elevar sus privilegios en los sistemas afectados. Estos problemas residen en permisos inadecuados en archivos, variables de entorno y rutas relativas en un script del sistema privilegiado. Un atacante podría emplear estos fallos para modificar scripts del sistema y lograr el control total de los sistemas afectados.
Cisco ha publicado un «Cisco Options Package (COP)» que corrige las vulnerabilidades CVE-2013-3404, CVE-2013-3403 y CVE-2013-3403. En la actualidad no hay solución para las otras vulnerabilidades anunciadas.
Más información:
Multiple Vulnerabilities in Cisco Unified Communications Manager
Antonio Ropero
Twitter: @aropero
Deja una respuesta