Llegamos a ustedes gracias a:



Noticias

Cisco parcha fallas de seguridad en sus routers y software WebEx

[20/07/2016] Cisco ha desarrollado diversos parches con el fin de solucionar algunas vulnerabilidades detectadas en su software IOS para dispositivos de red y los servidores asociados a las videoconferencias de WebEx.

La vulnerabilidad más seria parece afectar al software Cisco IOS XR asociado a los router de la serie Cisco Network Convergence Systems (NCS) 6000. Entre las posibles repercusiones se sabe que puede conllevar a una condición de denegación de servicio, dejando a los dispositivos afectados en un estado de no funcionamiento.

Los atacantes remotos pueden explotar la vulnerabilidad mediante el inicio de un número de conexiones de administración para un dispositivo afectado sobre el Secure Shell (SSH), Secure Copy Protocol (SCP) o Secure FTP (SFTO). Así pueden verse afectadas piezas críticas del equipamiento de los equipos, como pueda ser un router. Por el momento, los ingenieros de la compañía trabajan en ello y se recomienda a los clientes instalar los parches de seguridad recién liberados.

Otra falla localizada en el software Cisco IOS XR podría permitir a los atacantes que puedan ejecutar comandos arbitrarios en el sistema operativo con privilegios de Root. Esta vulnerabilidad afecta a IOS XR Software Release 6.0.1 BASE, y está clasificada como falla de nivel medio debido a que los atacantes necesitan estar autenticados como usuarios locales.

También se ha encontrado una falla de denegación de servicio que puede utilizarse para inhabilitar dispositivos que ejecutan versiones afectadas del software mediante el envío de paquetes especialmente diseñados Link Layer Discovery Protocol (LLDP). La explotación no requiere de autenticación, pero sí que el atacante tenga privilegios de poder enviar paquetes LLDP.

El firmware de toda la Serie 5000 de Cisco ASR, plataforma utilizada en redes 3G y LTE, ha recibido una actualización que permite corregir una implementación SNMP. La debilidad habría permitido a los atacantes leer y modificar la configuración del propio dispositivo.

Por último, otras dos vulnerabilidades XSS, asociadas en este caso al servidor Cisco WebEx Meetings Server versión 2.6, podrían ser explotadas de manera que engañen a los usuarios a visitar enlaces especialmente diseñados, y que conducirían a nuevos ataques más peligrosos. También esta falla ha recibido una actualización para impedir una vulnerabilidad de inyección de código SQL que podría permitir a atacantes, extraer información de su base de datos.

Lucian Constantin, IDG News Service