Cisco ha publicado un aviso de seguridad en el que
informa de la existencia de tres vulnerabilidades de diversa índole en Cisco
Unified Communications Domain Manager que podrían permitir a atacantes
modificar configuraciones o tomar el control de los sistemas afectados.
Cisco Unified
Communications Domain Manager (Cisco Unified CDM) es una plataforma de
distribución de servicios y gestión que proporciona funciones de automatización
y administración sobre Cisco Unified Communications Manager, Cisco Unity
Connection y aflicciones Cisco Jabber, así como sobre los teléfonos asociados y
clientes de software.
Detalle de las vulnerabilidades
- Cisco Unified Communications Domain Manager (Cisco Unified CDM) se ve afectado por tres vulnerabilidades. El primero de los problemas, con CVE-2014-2197, reside en una implementación inadecuada de los controles de autenticación y autorización de la interfaz de administración. Un atacante remoto autenticado podría elevar sus privilegios y conseguir permisos administrativos a los sistemas con versiones Cisco Unified CDM Application Software anteriores a 8.1.4.
- Por otra parte, los sistemas Cisco Unified CDM Platform con versiones de software anteriores a 4.4.2 almacenan de forma insegura una clave privada SSH, lo que podría permitir a un atacante obtener dicha clave. Esta vulnerabilidad (CVE-2014-2198) podría permitir a un atacante remoto conectarse mediante una cuenta de soporte sin ninguna autenticación. Un exploit podría permitir al atacante conseguir acceso al sistema con los privilegios de usuario root.
- Por último, se ha detectado una implementación inadecuada de los controles de autenticación y autorización al acceder a determinadas páginas del portal BVSMWeb (CVE-2014-3300). Mediante el envío de una URL específicamente creada al sistema un atacante podría acceder y modificar información de usuarios del portal BVSMWeb, como configuraciones del directorio de teléfonos personal, llamadas rápidas, número directo y reenvío de llamadas. Esta vulnerabilidad afecta a versiones de software anteriores a la 10.
- Cisco ha publicado actualizaciones gratuitas para corregir estas vulnerabilidades
- Multiple Vulnerabilities in Cisco Unified Communications Domain Manager http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140702-cucdm