Cisco
ha informado de varias vulnerabilidades que afectan a sus productos: dos son de
importancia crítica, una de importancia alta y nueve de importancia media.
Estas vulnerabilidades podrían permitir entre otros: accesos no autorizados, realizar denegación de servicios, XSS, CSRF, accesos una elevación de privilegios en el sistema, ejecución remota de código, etc.
Recursos
afectados:
Las
vulnerabilidades afectan a los siguientes productos:
1. Todas las versiones de Cisco Wireless
LAN Controller anteriores a las primeras versiones solucionadas de 8.0.140,
8.0.140.0, 8.2.121.0, and 8.3.102.0.
2. Cisco Hosted Collaboration Mediation
Fulfillment (HCM-F) versiones anteriores a la 10.6(3).
3. Cisco Virtual Media Packager (VMP)
usando Media Origination System Suite Software versiones 2.6 y anteriores.
4. Cisco WebEx Meetings Player versión
T29.10 para archivos WRF.
5. Cisco Small Business 220 Series Smart
Plus (Sx220) Switches con firmware release 1.0.0.17, 1.0.0.18, o 1.0.0.19. Esta
vulnerabilidad se solucionó con la release de firmware 1.0.1.1
6. Cisco Small Business 220 Series Smart
Plus (Sx220) Switches con firmware release 1.0.0.17, 1.0.0.18, or 1.0.0.19 y
SNMP habilitado.
7. Cisco Small Business IP Phones que
ejecuten software release 7.5.7(6) o anterior: SPA300 Series IP Phones, SPA500
Series IP Phones, SPA51x IP Phones
Detalle
de vulnerabilidades publicadas
1. Acceso
no autorizado (crítica):
una vulnerabilidad en la implementación de SNMP en switches Cisco Small
Business 220 Series Smart Plus (Sx220) permitiría un atacante remoto no
autenticado ganar acceso a los objetos SNMP del dispositivo. La vulnerabilidad
se debe a la presencia de una "community string" SNMP por defecto que
es añadida durante el proceso de instalación del dispositivo y que no puede ser
borrada. Se ha reservado para esta vulnerabilidad el identificador
CVE-2016-1473.
2. Ejecución
remota de código (alta):
una vulnerabilidad en el Cisco WebEx Meetings Player permitiría a un atacante
remoto no autenticado ejecutar código arbritario. El fallo se produce por el
incorrecto manejo de archivos suministrados por el usuario, y puede ser
explotada mediante el envío de paquetes manipulados HTTP al dispositivo
afectado. Se ha reservado para esta vulnerabilidad el identificador
CVE-2016-6370.
3. Denegación
de servicio (alta):
una vulnerabilidad en el framework HTTP de los Cisco Small Business SPA300
Series IP Phones, Cisco Small Business SPA500 Series IP Phones, y Cisco SPA51x
IP Phones permitiría a un atacante remoto no autenticado provocar una
denegación de servicio en el dispositivo. La vulnerabilidad se debe por el
incorrecto manejo de tráfico HTTP mal formado, y puede ser explotada mediante
el envío de paquetes manipulados HTTP al dispositivo afectado. Se ha reservado
para esta vulnerabilidad el identificador CVE-2016-1469.
Resto
de vulnerabilidades, de importancia media, pueden consultarse desde el apartado
de referencias del aviso (https://tools.cisco.com/security/center/publicationListing.x
)
Recomendación
·
Aplicar
las actualizaciones correspondientes según el producto afectado, indicadas por
el fabricante en Cisco Security Advisories and Alerts. (https://tools.cisco.com/security/center/publicationListing.x
)
Más
información
·
CERT
de Seguridad e Industria (CERTSI) https://www.certsi.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-cisco-1
Fuente:
INCIBE