3 de abril de 2011

VULNERABILIDADES EN LOS PRODUCTOS "CISCO" (ACS) y (NAC)

Cisco publicó 2 alertas de seguridad para sus productos Cisco Secure Access Control System (ACS) y Network Access Control (NAC).

Descripción de los productos afectados:

  • Cisco ACS opera como un servidor RADUIS y TACACS+ que combina la autenticación de usuarios, la administración de los dispositivos de control de acceso y las políticas de control de una red centralizada.
  • Cisco NAC es un sistema que permite gestionar automáticamente los dispositivos que acceden a la red según ciertas características definidas.

Detalle de la vulnerabilidades:

La vulnerabilidad que afecta a Cisco (ACS), nombrada CVE-2011-0951 permite que un ciberdelincuente no autenticado cambiar contraseña de usuarios sin saber la contraseña anterior. Están exentas del problema:

  1. Las cuentas de usuario definidas en un almacenamiento externo (como servidores LDAP o RADIUS externos).
  2. Cuentas de administrador si se han configuro a través de la interfaz web.
  3. Cuentas de usuario que hayan sido configuradas a través de comandos CLI.

La otra vulnerabilidad afecta a Cisco Network Access Control (NAC) Guest Server en su versión anterior a 2.0.3 y se la ha nombrado CVE-2011-0963.

  1. El fallo está en el archivo de configuración de RADIUS que un ciberdelincuente no autenticado podría aprovechar para acceder a una red protegida, saltándose restricciones y sin necesidad de usuario y contraseña.

Recomendaciones:

Actualizar el software afectado de Cisco desde:

http://www.cisco.com/cisco/software/release.html?mdfid=282450822&flowid=4363&softwareid=282562545.

Enlaces de interés:

Fuente: Hispasec