Fecha de publicaciĂłn: 04/11/2021
Importancia:
CrĂtica
Recursos afectados:
- Cisco Policy Suite, versiones:
- 20.2.0 y anteriores;
- 21.1.0.
- Catalyst PON Switch:
- CGP-ONT-1P, versiĂłn 1.1;
- CGP-ONT-4P, versiĂłn 1.1;
- CGP-ONT-4PV, versiĂłn 1.1;
- CGP-ONT-4PVC, versiĂłn 1.1;
- CGP-ONT-4TVCW, versiĂłn 1.1.
DescripciĂłn:
Cisco ha reportado tres vulnerabilidades de severidad crĂtica y otra de severidad alta que podrĂan permitir a un atacante, remoto y no autenticado, realizar una escalada de privilegios, ejecutar comandos arbitrarios, tomar el control del dispositivo o modificar parĂĄmetros de configuraciĂłn.
SoluciĂłn:
Actualizar a las versiones correspondientes de los productos afectados, segĂșn indica la secciĂłn Fixed Releases en los avisos del fabricante.
Detalle:
Una vulnerabilidad de credenciales embebidas en el mecanismo de autenticaciĂłn SSH basado en claves de Cisco Policy Suite podrĂa permitir a un atacante, remoto y no autenticado, iniciar sesiĂłn en un sistema afectado como usuario root. Esta vulnerabilidad se debe a la reutilizaciĂłn de claves SSH estĂĄticas entre instalaciones. Se ha asignado el identificador CVE-2021-40119 para esta vulnerabilidad crĂtica.
Una vulnerabilidad de credenciales embebidas en el servicio Telnet de los switches afectados, podrĂa permitir a un  atacante, remoto y no autenticado, iniciar sesiĂłn en el dispositivo de Cisco a travĂ©s de una sesiĂłn de Telnet y credenciales por defecto. Se ha asignado el identificador CVE-2021-34795 para esta vulnerabilidad crĂtica.
Una vulnerabilidad en la interfaz de administraciĂłn basada en web de los switches afectados, debida a una validaciĂłn incorrecta de los datos proporcionados por el usuario, podrĂa permitir a un atacante, remoto y no autenticado, ejecutar comandos arbitrarios mediante el envĂo de peticiones especialmente diseñadas a la interfaz. Se ha asignado el identificador CVE-2021-40113 para esta vulnerabilidad crĂtica.
Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2021-40112.
Etiquetas:
ActualizaciĂłn, Cisco, Comunicaciones, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.