CISCO. Múltiples vulnerabilidades en Cisco TelePresence

Cisco ha publicado correcciones para resolver dos vulnerabilidades de denegación de servicio y una de ejecución arbitraria de comandos, en productos Cisco TelePresence. El nivel de importancia asignado es alta

Recursos afectados

Los productos afectados por la vulnerabilidad en Cisco TelePresence ISDN Gateway son:

• Todas las versiones de Cisco TelePresence ISDN Gateway Software anteriores a la 2.2(1.92) ejecutando en Cisco TelePresence ISDN GW 3241 o Cisco TelePresence ISDN GW MSE 8321.

Los productos afectados por la vulnerabilidad en Cisco TelePresence Video Communication Server SIP Gateway son:

• Cisco TelePresence VCS Control
• Cisco TelePresence VCS Expressway
• Cisco TelePresence VCS Starter Pack Expressway ejecutando Cisco TelePresence VCS Software anterior a X8.1
• Productos Cisco TelePresence VCS

Los sistemas Cisco TelePresence System Software ejecutándose en el los siguientes dispositivos están afectados por la vulnerabilidad asociada:

• Cisco TelePresence System 500-32
• Cisco TelePresence System 500-37
• Cisco TelePresence System 1000
• Cisco TelePresence System 1100
• Cisco TelePresence System 1300-65
• Cisco TelePresence System 3000
• Cisco TelePresence System 3010
• Cisco TelePresence System 3200
• Cisco TelePresence System 3210
• Cisco TelePresence System TX1300 47 (también conocido como TX1300-47)
• Cisco TelePresence System TX1310 65
• Cisco TelePresence System TX9000
• Cisco TelePresence System TX9200

Detalle e Impacto potencial de las vulnerabilidades corregidas

1. Una vulnerabilidad en Cisco TelePresence ISDN Gateway, en el código que maneja el protocolo ISDN Q.931, permitiría a un atacante remoto no autenticado provocar la caída del canal de datos (D-channel), haciendo que todas las llamadas finalicen y evitando hacer nuevas. Se ha asignado el identificador CSCui50360 a esta vulnerabilidad, con un CVSS 2.0 de 7.1.
2. Una vulnerabilidad en Cisco TelePresence Video Communication Server permitiría a un atacante remoto no autenticado provocar el fallo de varios procesos críticos, pudiendo causar la finalización de llamadas activas y el bloqueo de nuevas hasta la recarga del sistema. Se ha asignado el identificador CSCue97632 a esta vulnerabilidad, con un CVSS 2.0 de 7.1.
3. Una vulnerabilidad en el System Status Collection Daemon (SSCD) de Cisco TelePresence System Software permitiría a atacantes cercanos no autenticados ejecutar comandos arbitrarios con permisos de superusuario. Se ha asignado el identificador CSCui32796 a esta vulnerabilidad, con un CVSS 2.0 de 8.3.

Recomendación

Cisco ha publicado actualizaciones gratuitas para los productos afectados, que se pueden obtener a través de los enlaces del fabricante en la sección de referencias.

Más información

Cisco TelePresence ISDN Gateway D-Channel Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-vcs

Cisco TelePresence System Software Command Execution Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-cts

Cisco TelePresence Video Communication Server SIP Denial of Service Vulnerability  http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-vcs

Fuente: Inteco