Vulnerabilidades críticas en productos Cisco

Vulnerabilidades críticas en productos Cisco

Cisco ha publicado dos alertas para informar de sendas vulnerabilidades críticas en productos con software Cisco Modular Encoding Platform D9036, Cisco UCS Manager y FX-OS para Firepower 9000 que podrían permitir a atacantes remotos tomar el control de los sistemas afectados. 
Cisco Modular Encoding Platform D9036
El primero de los problemas(CVE-2015-6412) afecta a todos los productos con software Cisco Modular Encoding Platform D9036 con versiones anteriores a la 02.04.70. Una vez más reside en que la cuenta root tiene configurada una cuenta root con una contraseña estática. Esta cuenta se crea en el momento de la instalación y no puede cambiarse ni eliminarse sin afectar a la funcionalidad del sistema. Un atacante podría aprovechar esta cuenta para acceder al dispositivo a través de SSH con privilegios de root.
Además de la cuenta root, también existe la cuenta “guest” (invitado) con contraseña estática aunque con privilegios limitados y que igualmente tampoco puede ser cambiada ni eliminada.
Una vez más, Cisco y el recurrente problema de las credenciales estáticas por defecto. Hace menos de una semana ya actualizó los puntos de acceso Cisco Aironet 1830e, 1830i, 1850e y 1850i por un problema similar. Otros productos como Cisco TelePresence Recording Server, Cisco NetFlow Collection Engine o Cisco Wireless Location Appliances también incluyeron cuentas administrativas con contraseñas por defecto. Es un problema que lleva persiguiendo a Cisco desde hace más de 10 años. Solo queda por pensar, qué más productos de Cisco incluyen alguna contraseña por defecto.
Por otra parte, una vulnerabilidad (CVE-2015-6435) en un script CGI del Cisco Unified Computing System (UCS) Manager y en los dispositivos Cisco Firepower 9000 Series podría permitir a un atacante remoto sin autenticar ejecutar comandos en los dispositivos afectados. El problema se debe a que no está protegida la llamada a comandos shell en el script CGI. Un atacante podrá explotar el problema a través de peticiones http específicamente construidas.
Cisco ha publicado las siguientes actualizacionespara todos los dispositivos afectados, disponibles desde Cisco Software Central:
Cisco Modular Encoding Platform D9036 versión 02.04.70
Tras la actualización será necesario modificar las contraseñas de las cuentas afectadas con los comandos set-root-password y set-guest-password.
Cisco UCS Manager 2.2(4b), 2.2(5a) y 3.0(2e)
Cisco Firepower 9000 Series 1.1.2
Más información:
Cisco Modular Encoding Platform D9036 Software Default Credentials Vulnerability
Cisco Unified Computing System Manager and Cisco Firepower 9000 Remote Command Execution Vulnerability
una-al-dia (14/01/2016) Actualizaciones para diversos dispositivos Cisco
una-al-dia (31/07/2011) Contraseña por defecto en Cisco TelePresence Recording Server
una-al-dia (13/10/2006) Contraseña por defecto en Cisco Wireless Location Appliances
una-al-dia (26/04/2007) Credenciales por defecto en Cisco NetFlow Collection Engine
una-al-dia (02/07/2015) Cisco tropieza de nuevo con una contraseña por defecto
una-al-dia (06/11/2015) Vulnerabilidades en dispositivos Cisco
Antonio Ropero
Twitter: @aropero

http://feeds.feedburner.com/hispasec/zCAd