Cisco ha publicado dos alertas para informar de sendas vulnerabilidades críticas en productos con software Cisco
Modular Encoding Platform D9036, Cisco UCS Manager y FX-OS para Firepower 9000 que
podrían permitir a atacantes remotos tomar
el control de los sistemas afectados.
 |
| Cisco Modular Encoding Platform D9036 |
El primero de los problemas
(CVE-2015-6412) afecta a todos los productos con software Cisco
Modular Encoding Platform D9036 con versiones anteriores
a la 02.04.70. Una vez más reside en la existencia de una cuenta root configurada con una contraseña estática. Esta cuenta se crea en
el momento de la instalación y no puede cambiarse ni eliminarse sin afectar a
la funcionalidad del sistema. Un atacante podría aprovechar esta cuenta para
acceder al dispositivo a través de SSH con privilegios de root.
Además de la cuenta root, también
existe la cuenta "guest" (invitado) con contraseña estática aunque con
privilegios limitados y que igualmente tampoco puede ser cambiada ni eliminada.
Una vez más,
Cisco y el recurrente problema de las credenciales estáticas por defecto. Hace menos de una semana ya actualizó los puntos de acceso Cisco Aironet 1830e,
1830i, 1850e y 1850i por un problema similar. Otros productos como Cisco
TelePresence Recording Server, Cisco NetFlow
Collection Engine o Cisco Wireless
Location Appliances también incluyeron cuentas administrativas con contraseñas
por defecto. Es un problema que lleva persiguiendo a Cisco desde hace más de 10
años. Solo queda por pensar, qué más productos de Cisco incluyen alguna
contraseña por defecto.
Por otra parte,
una
vulnerabilidad (CVE-2015-6435) en un script CGI del Cisco
Unified Computing System (UCS) Manager y en los dispositivos Cisco Firepower 9000
Series podría permitir a un atacante remoto sin autenticar ejecutar comandos en
los dispositivos afectados. El problema se debe a que no está protegida la
llamada a comandos shell en el script CGI. Un atacante podrá explotar el
problema a través de peticiones http específicamente construidas.
Cisco ha publicado las siguientes actualizaciones
para todos los dispositivos afectados, disponibles desde Cisco
Software Central:
Cisco Modular
Encoding Platform D9036 versión 02.04.70
Tras la
actualización será necesario modificar las contraseñas de las cuentas afectadas
con los comandos set-root-password y set-guest-password.
Cisco UCS
Manager 2.2(4b), 2.2(5a) y 3.0(2e)
Cisco Firepower 9000 Series 1.1.2
Más información:
Cisco Modular Encoding Platform
D9036 Software Default Credentials Vulnerability
Cisco Unified Computing System
Manager and Cisco Firepower 9000 Remote Command Execution Vulnerability
una-al-dia (14/01/2016) Actualizaciones para diversos
dispositivos Cisco
una-al-dia (31/07/2011) Contraseña por defecto en Cisco
TelePresence Recording Server
una-al-dia (13/10/2006) Contraseña por defecto en Cisco
Wireless Location Appliances
una-al-dia (26/04/2007) Credenciales por defecto en Cisco
NetFlow Collection Engine
una-al-dia (02/07/2015) Cisco tropieza de nuevo con una
contraseña por defecto
una-al-dia (06/11/2015) Vulnerabilidades en dispositivos
Cisco
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario