Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad de salto de autenticación en Cisco Elastic Services Controller

Fecha de publicación: 08/05/2019

Importancia: Crítica

Recursos afectados:

  • Cisco Elastic Services Controller, ejecutando versiones de sofware 4.1, 4.2, 4.3, o 4.4 con REST API habilitado.

Descripción:

Se ha detectado una vulnerabilidad de severidad crítica en Cisco Elastic Services Controller (ESC) que podría permitir a un atacante remoto sin autenticación saltarse la autenticación en REST API y realizar acciones en el sistema.

Solución:

  • Cisco ha publicado una actualización que mitiga la vulnerabilidad en función de la versión de software. Es posible descargarla desde su centro de descarga de software.
  • Las versiones afectadas:
    • 4.1 actualizar a las versiones:
      • 4.1.0.100
      • 4.1.0.111
    • 4.2 actualizar a las versiones:
      • 4.2.0.74
      • 4.2.0.86
    • 4.3 actualizar a las versiones:
      • 4.3.0.121
      • 4.3.0.128
      • 4.3.0.134
      • 4.3.0.135
    • 4.4 actualizar a las versiones:
      • 4.4.0.80
      • 4.4.0.82
      • 4.4.0.86
  • La versión 4.5 y las anteriores a la 4.1 no se encuentran afectadas.

Detalle:

  • La vulnerabilidad se debe a una validación incorrecta en las peticiones a la API. Un atacante podría explotar esta vulnerabilidad enviando una petición especialmente generada a la REST API, lo que podría permitir al atacante ejecutar acciones a través de la REST API con privilegios de administrador en el sistema afectado. Se ha reservado el identificador CVE-2019-1867 para esta vulnerabilidad.

Etiquetas: Actualización, Cisco, Vulnerabilidad