Cisco
ha publicado 19 boletines de seguridad
para informar de otras tantas vulnerabilidades (tres consideradas críticas y cuatro de gravedad alta, el resto de
importancia media) en múltiples productos que podrían permitir provocar
denegaciones de servicio, cross-site scripting, ejecutar código arbitrario o
acceder al dispositivo sin autorización entre otros ataques.
Los productos afectados son
- Cisco Ultra Services Framework
- Cisco Elastic Services Controller
- Cisco StarOS
- Cisco Nexus Series Switches
- Cisco Wide Area Application Services
- Cisco Prime Network
- Cisco Identity Services Engine
- Cisco IOS XR
- Cisco FireSIGHT
El primer
problema crítico, con CVE-2017-6714,
reside en el servicio AutoIT de Cisco Ultra Services Framework Staging
Server que podría permitir a un atacante remoto sin autenticar ejecutar
comandos shell arbitrarios como usuario root.
También crítica,
con CVE-2017-6711,
la configuración insegura por defecto del servicio Apache ZooKeeper en Ultra Automation Service (UAS) de Cisco Ultra Services
Framework podría permitir a un atacante remoto sin autenticar conseguir acceso
sin autorización al dispositivo.
El tercer problema crítico, con
CVE-2017-6713, afecta a Play Framework de Cisco Elastic Services Controller
(ESC). Una vez más el fallo que parece afectar de forma recurrente a una gran mayoría
de dispositivos Cisco, el recurrente problema de las credenciales estáticas por
defecto. Podrían permitir a un atacante remoto sin autenticar el acceso y
control total de los dispositivos afectados.
De gravedad alta dos
vulnerabilidades en la herramienta AutoVNF de Cisco Ultra Services Framework. Una
podría permitir que un atacante remoto no autenticado acceder a las
credenciales administrativas de Cisco Elastic Services Controller (ESC) y Cisco
OpenStack (CVE-2017-6709).
Por otra parte, con CVE-2017-6708,
una vulnerabilidad en la creación de enlaces simbólicos podría permitir la
ejecución de código arbitrario.
También de gravedad alta, con CVE-2017-6712,
afecta a Cisco Elastic Services Controller porque el usuario tomcat del sistema
puede ejecutar determinados comandos shell lo que podría permitir a un atacante
remoto ejecutar comandos arbitrarios y elevar sus privilegios a root. La última
vulnerabilidad de gravedad alta reside en el intérprete de línea de comandos del
sistema operativo Cisco StarOS de los dispositivos Cisco ASR 5000, 5500 y 5700 y
Cisco Virtualized Packet Core (VPC). Un atacante local autenticado podría ejecutar
comandos shell arbitrarios como usuario root (CVE-2017-6707).
Otros problemas de gravedad media
son:
- Inyección de comandos en el Telnet de switches Cisco Nexus (CVE-2017-6650)
- Inyección de comandos en switches Cisco Nexus (CVE-2017-6649)
- Obtención de información sensible en la administración central de Cisco Wide Area Application Services (CVE-2017-6730)
- Denegación de servicio en Cisco Wide Area Application Services (CVE-2017-6727)
- Denegación de servicio en el protocolo BGP de Cisco StarOS (CVE-2017-6729)
- Elevación de privilegios en Cisco Prime Network (CVE-2017-6732)
- Cross-Site Scripting en Cisco Identity Services Engine (CVE-2017-6734)
- Cross-Site Scripting almacenado en Cisco Identity Services Engine (CVE-2017-6733)
- Denegación de servicio por el protocolo Multicast Source Discovery Protocol (MSDP) de Cisco IOS XR (CVE-2017-6731)
- Elevación de privilegios por asignación incorrecta de permisos en Cisco IOS XR (CVE-2017-6728)
- Obtención de información sensible en Cisco Prime Network (CVE-2017-6726)
- Ejecución arbitraria de código en Cisco FireSIGHT System (CVE-2017-6735)
Cisco ha publicado
actualizaciones para las vulnerabilidades consideradas de gravedad crítica y alta.
Se recomienda consultar las alertas publicadas para obtener información sobre
disponibilidad de parches y actualizaciones.
Más información:
Cisco Security Advisories and
Alerts
Cisco Ultra Services Framework Staging Server
Arbitrary Command Execution Vulnerability
Cisco Ultra Services Framework UAS
Unauthenticated Access Vulnerability
Cisco Elastic Services Controller Unauthorized
Access Vulnerability
Antonio Ropero
Twitter: @aropero
Buenas,
ResponderEliminarMe lo parece a mí, o esto lleva sin actualizarse cuatro días? :O