[28/06/2019] Cisco ha emitido tres advertencias de seguridad "críticas" para los usuarios de su centro DNA: dos de ellas con una puntuación del sistema Common Vulnerability Scoring de 9,8 sobre 10.
Los dos problemas más graves son los del Administrador de Redes de Centros de Datos de Cisco (DCNM).El Centro DNA de Cisco controla el acceso a través de políticas que utilizan acceso definido por software, aprovisionamiento automático a través de Cisco DNA Automation, virtualización de dispositivos a través de la virtualización de funciones de red de Cisco (NFV), y reducción de riesgos de seguridad a través de la segmentación y el análisis de tráfico encriptado.
En un aviso, Cisco señaló que una vulnerabilidad en la interfaz de administración basada en web de DCNM podría permitir a un atacante obtener una cookie de sesión válida sin conocer la contraseña de usuario administrativo, enviando una petición HTTP especialmente diseñada a un servidor web específico que esté disponible en los dispositivos afectados. La vulnerabilidad se debe a una gestión inadecuada de las sesiones en el software DCNM afectado.
La vulnerabilidad afecta a las versiones de software DCNM anteriores a la versión 11.1(1). Cisco anotó que eliminó completamente el servlet web afectado en la versión 11.1(1) del software DCNM.
Otra advertencia crítica fue emitida para DCNM sobre una vulnerabilidad que permite a un atacante crear archivos arbitrarios en el sistema de archivos DCNM subyacente, enviando datos especialmente diseñados a un servlet web específico que está disponible en los dispositivos afectados.
Cisco señaló que la vulnerabilidad se debe a la configuración incorrecta de permisos en el software DCNM afectado. Un exploit exitoso podría permitir al atacante escribir archivos arbitrarios en el sistema de archivos y ejecutar código con privilegios de root en el dispositivo afectado.
En la versión de software DCNM 11.0(1) y anterior, un atacante necesitaría ser autenticado a la interfaz de administración basada en web DCNM para explotar esta vulnerabilidad, indicó Cisco.
La tercera vulnerabilidad, con una puntuación CVSS de 9,3, define una vulnerabilidad en el Centro DNA que podría permitir a un atacante adyacente no autenticado eludir la autenticación y acceder a servicios internos críticos. Un atacante podría explotar esta vulnerabilidad conectando un dispositivo de red no autorizado a la subred designada para los servicios de clúster. Un exploit exitoso podría permitir a un atacante alcanzar servicios internos que no están endurecidos para el acceso externo, anotó Cisco.
La vulnerabilidad se debe a la insuficiente restricción de acceso a los puertos necesarios para la operación del sistema, indicó la empresa.
En este caso, Cisco dijo que existe una solución para los clientes que no pueden actualizar a una versión fija. Para coordinar la implementación de la solución, comuníquese con el Centro de Asistencia Técnica de Cisco (TAC).
Cisco añadió que ha publicado actualizaciones de software gratuitas que abordan las vulnerabilidades descritas en estos avisos.
Las advertencias críticas de esta semana siguen a otro aviso crítico del Centro de ADN de la semana pasada. A continuación, Cisco detalló una advertencia crítica (con una puntuación CVSS de 9,3) sobre la vulnerabilidad de su software del Centro DNA que podría permitir que un atacante no autenticado aprovechara esta debilidad conectando un dispositivo de red no autorizado a la subred designada para los servicios de clúster.
Un exploit exitoso podría permitir a un atacante alcanzar servicios internos que no están endurecidos para el acceso externo, afirmó Cisco.La vulnerabilidad se debe a la insuficiente restricción de acceso a los puertos necesarios para la operación del sistema, y Cisco descubrió el problema durante las pruebas de seguridad interna, declaró la compañía.
Esta vulnerabilidad afecta a las versiones del Software del Centro DNA de Cisco anteriores a la 1.3, y está corregida en la versión 1.3 y posteriores.
Cisco escribió que las actualizaciones del sistema están disponibles para su instalación desde la nube de Cisco, y no están disponibles para su descarga desde el Centro de Software de Cisco.com. Para actualizar a una versión fija de Cisco DNA Center Software, los administradores pueden utilizar la función Actualizaciones del sistema del software.
Michael Cooney, Network World (EE.UU.)