Contrase帽a codificada en software de Cisco crea brecha de seguridad

Entre las 22 notificaciones de seguridad presentadas por Cisco la v铆spera se incluye una alerta cr铆tica, que mediante una contrase帽a codificada permitir铆a a atacantes hacerse del control total de un sistema vulnerable.

La contrase帽a codificada afecta la aplicaci贸n Cisco Prime Collaboration Provisioning (PCP), software utilizado para la instalaci贸n remota y mantenimiento de otros productos de voz y video de la empresa. En general, PCP es instalado en servidores Linux.

En su anuncio, Cisco escribe que un atacante podr铆a aprovechar esta vulnerabilidad (CVE-2.018 a 0.141) mediante la conexi贸n al sistema afectado a trav茅s de Secure Shell (SSH) con la contrase帽a codificada.

Cabe se帽alar que la falla solo puede ser explotada por atacantes locales; es decir, personas que tengan acceso al sistema. Asimismo, su nivel de impacto es bajo debido a que solo permite el acceso a cuentas de usuario con privilegios bajos. A pesar de esto, Cisco ha rotulado la brecha de seguridad como “cr铆tica”.

Cisco explica su decisi贸n se帽alando que aunque esta vulnerabilidad tiene una puntuaci贸n base de 5,9 en Common Vulnerability Scoring System (CVSS), que normalmente equivale a un rango de repercusi贸n de seguridad (SIR) medio. 鈥淗ay circunstancias que permiten que un atacante obtener privilegios extraordinarios que le permitan acceso root. Por esta raz贸n, se ha optado por un SIR cr铆tico鈥.

El procedimiento del caso implica que un atacante puede infectar otro dispositivo en la misma red, utiliz谩ndolo como proxy para una conexi贸n SSH, situaci贸n que habilitar铆a una intrusi贸n v铆a internet.

Cisco indica que no hay mitigaciones temporales o soluciones que los administradores puedan implementar por cuenta propia para impedir la explotaci贸n de esta brecha en versiones anteriores del software PCP. En lugar de ello, la empresa recomienda instalar a la mayor brevedad los parches que public贸 la v铆spera, y que solucionan el problema.

Fotograf铆a (c) Katherine Welles v铆a Shutterstock

Cisco afina su oferta de redes auto-adaptables para centros de datos y nubes privadas

Cisco borra accidentalmente datos de clientes en servicio Cloud

Falla en equipos de Cisco los inutiliza en 18 meses

Intel lanza nueva versi贸n de los chips que estropearon hardware de Cisco


Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.