Cisco ha publicado actualizaciones para sus dispositivos Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv) y Security Management Virtual Appliance (SMAv) después de encontrar que incluían claves SSH por defecto.
Recursos afectados
En esta ocasión son
tres los dispositivos afectados:
- Cisco
Virtual Web Security Appliance (WSAv)
- Cisco
Virtual Email Security Appliance (ESAv)
- Cisco
Virtual Security Management Appliance (SMAv)
- Que
incluyen en dos tipos de claves SSH por defecto.
Detalle de las vulnerabilidades
- El
primero de los problemas se debe a la inclusión de una llave SSH autorizada
por defecto que es compartida en todas las instalaciones de WSAv, ESAv y
SMAv. Un atacante podrá explotar la vulnerabilidad obteniendo la llave
privada SSH y empleándola para conectar a cualquier a cualquier
dispositivo afectado con privilegios de "root".
- Por
otra parte, también incluyen llaves de host SSH por defecto compartidas,
igualmente, en todas las instalaciones de WSAv, ESAv y SMAv. Un atacante
podrá obtener una de las llaves privadas SSH y emplearla para descifrar o
falsificar la comunicación entre los dispositivos afectados.
Recomendación
·
Cisco ha publicado actualizaciones para los tres
productos afectados. El parche borrará todas las llaves SSH preinstaladas en el
dispositivo, tras lo cual se indicarán los pasos precisos para completar el
proceso. La actualización está
disponible mediante el proceso de actualización habitual. Aparecerá como
"cisco-sa-20150625-ironport SSH Keys Vulnerability Fix" y se debe
instalar de forma manual empleando CLI.
Más información:
- Multiple Default SSH Keys Vulnerabilities in
Cisco Virtual WSA, ESA, and SMA http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150625-ironport