1 de julio de 2015

CISCO. Claves SSH por defecto en algunos de sus dispositivos

Cisco ha publicado actualizaciones para sus dispositivos Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv) y Security Management Virtual Appliance (SMAv) después de encontrar que incluían claves SSH por defecto.
Recursos afectados
 En esta ocasión son tres los dispositivos afectados:
  • Cisco Virtual Web Security Appliance (WSAv)
  • Cisco Virtual Email Security Appliance (ESAv)
  • Cisco Virtual Security Management Appliance (SMAv)
  • Que incluyen en dos tipos de claves SSH por defecto.
Detalle de las vulnerabilidades
  • El primero de los problemas se debe a la inclusión de una llave SSH autorizada por defecto que es compartida en todas las instalaciones de WSAv, ESAv y SMAv. Un atacante podrá explotar la vulnerabilidad obteniendo la llave privada SSH y empleándola para conectar a cualquier a cualquier dispositivo afectado con privilegios de "root".
  • Por otra parte, también incluyen llaves de host SSH por defecto compartidas, igualmente, en todas las instalaciones de WSAv, ESAv y SMAv. Un atacante podrá obtener una de las llaves privadas SSH y emplearla para descifrar o falsificar la comunicación entre los dispositivos afectados.
Recomendación
·         Cisco ha publicado actualizaciones para los tres productos afectados. El parche borrará todas las llaves SSH preinstaladas en el dispositivo, tras lo cual se indicarán los pasos precisos para completar el proceso.  La actualización está disponible mediante el proceso de actualización habitual. Aparecerá como "cisco-sa-20150625-ironport SSH Keys Vulnerability Fix" y se debe instalar de forma manual empleando CLI.
Más información:
Fuente: Hispasec