Fecha de publicación: 04/11/2021
Importancia:
Crítica
Recursos afectados:
- Cisco Policy Suite, versiones:
- 20.2.0 y anteriores;
- 21.1.0.
- Catalyst PON Switch:
- CGP-ONT-1P, versión 1.1;
- CGP-ONT-4P, versión 1.1;
- CGP-ONT-4PV, versión 1.1;
- CGP-ONT-4PVC, versión 1.1;
- CGP-ONT-4TVCW, versión 1.1.
Descripción:
Cisco ha reportado tres vulnerabilidades de severidad crítica y otra de severidad alta que podrían permitir a un atacante, remoto y no autenticado, realizar una escalada de privilegios, ejecutar comandos arbitrarios, tomar el control del dispositivo o modificar parámetros de configuración.
Solución:
Actualizar a las versiones correspondientes de los productos afectados, según indica la sección Fixed Releases en los avisos del fabricante.
Detalle:
Una vulnerabilidad de credenciales embebidas en el mecanismo de autenticación SSH basado en claves de Cisco Policy Suite podría permitir a un atacante, remoto y no autenticado, iniciar sesión en un sistema afectado como usuario root. Esta vulnerabilidad se debe a la reutilización de claves SSH estáticas entre instalaciones. Se ha asignado el identificador CVE-2021-40119 para esta vulnerabilidad crítica.
Una vulnerabilidad de credenciales embebidas en el servicio Telnet de los switches afectados, podría permitir a un atacante, remoto y no autenticado, iniciar sesión en el dispositivo de Cisco a través de una sesión de Telnet y credenciales por defecto. Se ha asignado el identificador CVE-2021-34795 para esta vulnerabilidad crítica.
Una vulnerabilidad en la interfaz de administración basada en web de los switches afectados, debida a una validación incorrecta de los datos proporcionados por el usuario, podría permitir a un atacante, remoto y no autenticado, ejecutar comandos arbitrarios mediante el envío de peticiones especialmente diseñadas a la interfaz. Se ha asignado el identificador CVE-2021-40113 para esta vulnerabilidad crítica.
Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2021-40112.
Etiquetas:
Actualización, Cisco, Comunicaciones, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.