Llegamos a ustedes gracias a:



Alertas de Seguridad

Cisco lanza un parche de seguridad crítico

Para una herramienta de automatización virtualizada

[09/05/2019] Cisco ha lanzado un parche para una vulnerabilidad crítica en el software utilizado para controlar grandes entornos virtuales.

La debilidad obtiene una puntuación de severidad de 10 sobre 10 y se encuentra en el Controlador de Servicios Elásticos (ESC) de Cisco, que la compañía describe como un único punto de control para gestionar todos los aspectos de las Funciones de Red Virtual, y ofrece capacidades como la monitorización de VM y servicios, la recuperación automática y la escalabilidad dinámica. Con ESC los usuarios controlan el ciclo de vida de todos los recursos virtualizados, ya sea utilizando Cisco o VNF de terceros, declaró Cisco.

La vulnerabilidad en este caso reside en la API REST de ESC y podría permitir a un atacante remoto no autenticado eludir la autenticación en la API REST, y ejecutar acciones arbitrarias a través de privilegios administrativos en un sistema afectado. La vulnerabilidad se debe a la validación incorrecta de las solicitudes de API, escribió Cisco en su aviso.

Esta vulnerabilidad afecta a Cisco ESC que ejecuta las versiones de software 4.1, 4.2, 4.3 o 4.4 cuando la API de REST está activada. La API REST no está habilitada de forma predeterminada, señaló Cisco.La vulnerabilidad está corregida en la versión 4.5 de Cisco Elastic Services Controller.

Cisco dijo que la susceptibilidad fue encontrada durante las pruebas de seguridad interna, y que la compañía no tiene conocimiento de ningún anuncio público o uso malicioso de la vulnerabilidad.

Cisco ha publicado actualizaciones de software gratuitas que abordan esta vulnerabilidad y sugiere ir aquí para encontrar la solución.

Este anuncio fue el segundo parche "crítico" de Cisco este mes.La semana pasada Cisco dijo que una vulnerabilidad en su Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) Mode data center switch que podría permitir a un atacante acceder secretamente a los recursos del sistema.

Ese parche fue parte de unos 40 avisos de seguridad emitidos la semana pasada.