Cisco publicó dos alertas de seguridad que afectan a sus productos Cisco Secure Access Control System (ACS) y NAC (Network Access Control).
Cisco ACS opera como un servidor RADUIS y TACACS+ que combina por un lado la autenticación de usuarios y por otro la administración de los dispositivos de control de acceso y las políticas de control de una red centralizada.
La vulnerabilidad permite a un atacante remoto cambiar la contraseña de algunos usuarios sin la necesidad de saber la contraseña anterior. No todas las contraseñas pueden ser modificadas por un atacante. Están exentas del problema:
* Las cuentas de usuario definidas en un almacenamiento externo (como servidores LDAP o RADIUS externos).
* Cuentas de administrador si se han configuro a través de la interfaz web.
* Cuentas de usuario que hayan sido configuradas a través de comandos CLI.
La otra vulnerabilidad afecta a Cisco Network Access Control (NAC) Guest Server en su versión anterior a 2.0.3. Cisco NAC es un sistema que nos permite gestionar automáticamente los dispositivos que acceden a la red según ciertas características definidas.
La falla se encuentra en el archivo de configuración de RADIUS. Un atacante remoto no autenticado que explote la vulnerabilidad puede tener acceso a una red protegida independientemente de las restricciones interpuestas y sin necesidad de usuario y contraseña.
Cisco ha publicado actualizaciones para corregir los problemas. La última versión del software Cisco NAC Guest Access Server puede obtenerse desde: http://www.cisco.com/cisco/software/release.html?mdfid=282450822&flowid=4363&softwareid=282562545.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4543
Cisco ACS opera como un servidor RADUIS y TACACS+ que combina por un lado la autenticación de usuarios y por otro la administración de los dispositivos de control de acceso y las políticas de control de una red centralizada.
La vulnerabilidad permite a un atacante remoto cambiar la contraseña de algunos usuarios sin la necesidad de saber la contraseña anterior. No todas las contraseñas pueden ser modificadas por un atacante. Están exentas del problema:
* Las cuentas de usuario definidas en un almacenamiento externo (como servidores LDAP o RADIUS externos).
* Cuentas de administrador si se han configuro a través de la interfaz web.
* Cuentas de usuario que hayan sido configuradas a través de comandos CLI.
La otra vulnerabilidad afecta a Cisco Network Access Control (NAC) Guest Server en su versión anterior a 2.0.3. Cisco NAC es un sistema que nos permite gestionar automáticamente los dispositivos que acceden a la red según ciertas características definidas.
La falla se encuentra en el archivo de configuración de RADIUS. Un atacante remoto no autenticado que explote la vulnerabilidad puede tener acceso a una red protegida independientemente de las restricciones interpuestas y sin necesidad de usuario y contraseña.
Cisco ha publicado actualizaciones para corregir los problemas. La última versión del software Cisco NAC Guest Access Server puede obtenerse desde: http://www.cisco.com/cisco/software/release.html?mdfid=282450822&flowid=4363&softwareid=282562545.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4543
No hay comentarios:
Publicar un comentario