Cisco ha lanzado una alerta de seguridad en donde comunica múltiples vulnerabilidades en Cisco Unified Communications Manager 9.1(2) (y versiones anteriores) que podrían permitir a un atacante remoto tomar el control de los sistemas afectados.
Cisco Unified Communications Manager es el componente de procesamiento de llamadas de la solución de telefonía IP de Cisco (Cisco IP Telephony).
Detalle de vulnerabilidades
Las dos primeras vulnerabilidades consisten en sendos problemas de inyección SQL ciega (blind SQL injection).
Las dos primeras vulnerabilidades consisten en sendos problemas de inyección SQL ciega (blind SQL injection).
- Una de ellas puede explotarse por un atacante remoto sin autenticar. La otra vulnerabilidad de inyección de comandos SQL "a ciegas" requiere la autenticación para poder explotarse y puede permitir modificar o insertar datos en algunas tablas de la base de datos.
- Como los productos Cisco Unified Communications Manager incluyen la llave de cifrado empleada para el cifrado de datos sensibles almacenados en la base de datos y para la seguridad de las comunicaciones CTI (Computer Telephony Integration). Por lo tanto se está usando la misma clave de cifrado para todas las instalaciones de Cisco Unified CM. Un atacante podría explotar esto para descifrar información sensible mediante el uso de la clave secreta, con lo que podría obtener incluso credenciales de usuario.
Otra vulnerabilidad consiste en la validación inadecuada de los datos introducidos por parte del usuario, que podría permitir a un atacante remoto autenticado ejecutar comandos.
- Por ultimo, se confirman otras tres vulnerabilidades (CVE-2013-3403, CVE-2013-3434 y CVE-2013-3433) que podrían permitir a un atacante local elevar sus privilegios en los sistemas afectados y emplear estos fallos para modificar scripts del sistema y lograr el control total de los sistemas afectados.
Recomendación
- Cisco ha publicado un "Cisco Options Package (COP)" que corrige las vulnerabilidades CVE-2013-3404, CVE-2013-3403 y CVE-2013-3403.
- En la actualidad no hay solución para el resto vulnerabilidades anunciadas.
Más información:
Visite la página de debajo, correspondiente a la alerta de seguridad de CISCO.
- Multiple Vulnerabilities in Cisco Unified Communications Manager http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-cucm
Fuente: Hispasec
