Cisco ha publicado dos alertas para informar de sendas vulnerabilidades críticas en productos con software Cisco Modular Encoding Platform D9036, Cisco UCS Manager y FX-OS para Firepower 9000 que podrían permitir a atacantes remotos tomar el control de los sistemas afectados.
 |
| Cisco Modular Encoding Platform D9036 |
El primero de los problemas(CVE-2015-6412) afecta a todos los productos con software Cisco Modular Encoding Platform D9036 con versiones anteriores a la 02.04.70. Una vez más reside en la existencia de una cuenta root configurada con una contraseña estática. Esta cuenta se crea en el momento de la instalación y no puede cambiarse ni eliminarse sin afectar a la funcionalidad del sistema. Un atacante podría aprovechar esta cuenta para acceder al dispositivo a través de SSH con privilegios de root.
Además de la cuenta root, también existe la cuenta «guest» (invitado) con contraseña estática aunque con privilegios limitados y que igualmente tampoco puede ser cambiada ni eliminada.
Una vez más, Cisco y el recurrente problema de las credenciales estáticas por defecto. Hace menos de una semana ya actualizó los puntos de acceso Cisco Aironet 1830e, 1830i, 1850e y 1850i por un problema similar. Otros productos como Cisco TelePresence Recording Server, Cisco NetFlow Collection Engine o Cisco Wireless Location Appliances también incluyeron cuentas administrativas con contraseñas por defecto. Es un problema que lleva persiguiendo a Cisco desde hace más de 10 años. Solo queda por pensar, qué más productos de Cisco incluyen alguna contraseña por defecto.
Por otra parte, una vulnerabilidad (CVE-2015-6435) en un script CGI del Cisco Unified Computing System (UCS) Manager y en los dispositivos Cisco Firepower 9000 Series podría permitir a un atacante remoto sin autenticar ejecutar comandos en los dispositivos afectados. El problema se debe a que no está protegida la llamada a comandos shell en el script CGI. Un atacante podrá explotar el problema a través de peticiones http específicamente construidas.
Cisco ha publicado las siguientes actualizacionespara todos los dispositivos afectados, disponibles desde Cisco Software Central:
Cisco Modular Encoding Platform D9036 versión 02.04.70
Tras la actualización será necesario modificar las contraseñas de las cuentas afectadas con los comandos set-root-password y set-guest-password.
Cisco UCS Manager 2.2(4b), 2.2(5a) y 3.0(2e)
Cisco Firepower 9000 Series 1.1.2
Más información:
Cisco Modular Encoding Platform D9036 Software Default Credentials Vulnerability
Cisco Unified Computing System Manager and Cisco Firepower 9000 Remote Command Execution Vulnerability
una-al-dia (14/01/2016) Actualizaciones para diversos dispositivos Cisco
una-al-dia (31/07/2011) Contraseña por defecto en Cisco TelePresence Recording Server
una-al-dia (13/10/2006) Contraseña por defecto en Cisco Wireless Location Appliances
una-al-dia (26/04/2007) Credenciales por defecto en Cisco NetFlow Collection Engine
una-al-dia (02/07/2015) Cisco tropieza de nuevo con una contraseña por defecto
una-al-dia (06/11/2015) Vulnerabilidades en dispositivos Cisco
Antonio Ropero
Twitter: @aropero
Deja una respuesta