Cisco ha publicado dos alertas para informar de sendas vulnerabilidades críticas en productos con software Cisco Modular Encoding Platform D9036, Cisco UCS Manager y FX-OS para Firepower 9000 que podrían permitir a atacantes remotos tomar el control de los sistemas afectados.
El primero de los problemas
(CVE-2015-6412) afecta a todos los productos con software Cisco Modular
Encoding Platform D9036 con versiones anteriores a la 02.04.70. Una vez más reside
en la existencia de una cuenta root configurada con una contraseña estática.
Esta cuenta se crea en el momento de la instalación y no puede cambiarse ni
eliminarse sin afectar a la funcionalidad del sistema. Un atacante podría
aprovechar esta cuenta para acceder al dispositivo a través de SSH con
privilegios de root.
Además de la cuenta root, también existe la cuenta "guest" (invitado) con contraseña estática aunque con privilegios limitados y que igualmente tampoco puede ser cambiada ni eliminada.
Una vez más, Cisco y el recurrente problema de
las credenciales estáticas por defecto. Hace menos de una semana ya actualizó
los puntos de acceso Cisco Aironet 1830e, 1830i, 1850e y 1850i por un problema
similar. Otros productos como Cisco TelePresence Recording Server, Cisco
NetFlow Collection Engine o Cisco Wireless Location Appliances también
incluyeron cuentas administrativas con contraseñas por defecto. Es un problema
que lleva persiguiendo a Cisco desde hace más de 10 años. Solo queda por
pensar, qué más productos de Cisco incluyen alguna contraseña por defecto.
Por otra parte, una vulnerabilidad (CVE-2015-6435) en un script CGI del Cisco Unified Computing System (UCS) Manager y en los dispositivos Cisco Firepower 9000 Series podría permitir a un atacante remoto sin autenticar ejecutar comandos en los dispositivos afectados. El problema se debe a que no está protegida la llamada a comandos shell en el script CGI. Un atacante podrá explotar el problema a través de peticiones http específicamente construidas.
Cisco ha publicado las siguientes
actualizaciones para todos los dispositivos afectados, disponibles desde Cisco
Software Central:
- Cisco Modular Encoding Platform D9036 versión 02.04.70
- Cisco UCS Manager 2.2(4b), 2.2(5a) y 3.0(2e)
- Cisco Firepower 9000 Series 1.1.2
Tras la actualización
será necesario modificar las contraseñas de las cuentas afectadas con los
comandos set-root-password y set-guest-password.
Más información:
- Cisco Modular Encoding Platform D9036 Software Default Credentials Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-d9036
- Cisco Unified Computing System Manager and Cisco Firepower 9000 Remote Command Execution Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160120-ucsm