Cisco
ha publicado una alerta de seguridad
por una vulnerabilidad de inyección SQL
en Cisco Secure Access
Control System (ACS) en versiones anteriores a la 5.5 patch 7.
Cisco ACS opera como un servidor
RADUIS y TACACS+ que combina la autenticación de usuarios, la administración de
los dispositivos de control de acceso y las políticas de control de una red
centralizada.
La vulnerabilidad, identificada con
el CVE-2015-0580, permite a un atacante remoto
autenticado ejecutar consultas SQL arbitrarias en una de las dos bases de
datos de ACS View. El problema reside en un fallo al depurar adecuadamente las
entradas del usuario a la aplicación de informes. Un atacante podrá explotarlo
mediante el envío de peticiones https modificadas al servidor web.
Un ataque exitoso podrá permitir acceder
a los registros de la base de datos de Cisco ACS View; acceder y modificar datos
sensibles de los registros de cuentas RADIUS o incluso permitir al atacante
acceder a información del sistema operativo.
Cisco ha publicado
actualizaciones gratuitas para corregir este problema.
Más información:
Cisco Secure Access Control
System SQL Injection Vulnerability
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario