Cisco ha publicado 7
vulnerabilidades entre diversos productos, se han detectado 3 vulnerabilidades
de severidad crítica y 4 de severidad alta, catalogadas de Importancia: 5 -
Crítica
Recursos
afectados:
- Cisco DNA Center Software versiones anteriores a la
1.1.4
- Dispositivos Cisco que ejecuten las versiones 3.7.1,
3.6.3, o anteriores
- Cisco Meeting Server Software versiones 2.0, 2.1,
2.2 y 2.3.
- Cisco ISE
- Cisco ISE Express
- Cisco ISE Virtual Appliance
- Connected Grid Network Management System, si
ejecutan versiones de IoT-FND anterioes a la versión 3.0.
- IoT Field Network Director, si ejecutan versiones de
IoT-FND anteriores a 4.1.1-6 o 4.2.0-123.
Recomendación
Cisco ha puesto a
disposición de los usuarios diversas actualizaciones en función del producto
afectado. Las actualizaciones que corrigen las vulnerabilidades pueden
descargarse desde:Panel de descarga de Software Cisco https://software.cisco.com/download/home
Detalle
de vulnerabilidades
Las vulnerabilidades de severidad
crítica son las siguientes:
- Una
vulnerabilidad detectada en Cisco Digital Network Architecture (DNA)
Center Static Credentials, podría permitir que un atacante remoto sin
autenticación pudiese acceder al sistema empleando una cuenta de usuario
con privilegios de administración que tiene credenciales predeterminadas y
estáticas. Se ha reservado el identificador CVE-2018-0222 para esta
vulnerabilidad.
- Una
vulnerabilidad en la API (Interfaz de Programación de Aplicaciones) Cisco
Digital Network Architecture (DNA) Center Authentication, podría permitir
a un atacante remoto sin autenticación saltarse el proceso de acceso al
sistema pudiendo acceder a servicios críticos. Se ha reservado el
identificador CVE-2018-0271 para esta vulnerabilidad.
- Una
vulnerabilidad detectada en el contenedor de gestión del subsistema de
Cisco Digital Network Architecture (DNA) Center Unauthorized Access,
podría permitir a un atacante remoto sin autenticación saltarse el proceso
de acceso al sistema y obtener elevación de privilegios. Se ha reservado
el identificador CVE-2018-0268 para esta vulnerabilidad.
- Para el resto de
vulnerabilidades se han reservado los siguientes identificadores:
CVE-2018-0279, CVE-2018-0280, CVE-2018-0277 y CVE-2018-0270.
Más información
·
Certsi.es
https://www.certsi.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-cisco-30
Fuente: INCIBE