Gravedad: Alta
Fecha de publicación: 08 junio 2017
Fecha de modificación: 08 junio 2017
Última revisión: Revisión A.
Fuente: US-CERT
Sistemas Afectados
Para cisco-sa-20170607-dcnm1: Cisco Prime Data Center Network Manager (DCNM) versiones 10.1(1) y 10.1(2) para Microsoft Windows, Linux y plataformas de aplicación virtual.
Para cisco-sa-20170607-dcnm2: Cisco Prime Data Center Network Manager (DCNM) versiones anteriores a 10.2(1) para Microsoft Windows, Linux y plataformas de aplicación virtual.
Para cisco-sa-20170607-anyconnect: Todas las versiones anteriores a la 4.4.02034 de Cisco AnyConnect Secure Mobility Client para Windows.
Para cisco-sa-20170607-tele: Algunas plataformas Cisco TC y CE corriendo versiones anteriores a TC 7.3.8 y CE 8.3.0 (ver listado completo en enlace e. en la sección III Referencia a soluciones, herramientas e información)
I. Descripción
La empresa Cisco ha liberado actualizaciones para corregir diversas vulnerabilidades de seguridad que afectan a múltiples productos. Un atacante remoto podría explotar una de estas vulnerabilidades y tener control del sistema.
Las vulnerabilidades de seguridad que son tomadas en cuenta para la fecha son:
– Vulnerabilidad de ejecución remota de código de Prime Data Center Network Manager Debug (cisco-sa-20170607-dcnm1).
– Vulnerabilidad de credenciales estáticas de Prime Data Center Network Manager (cisco-sa-20170607-dcnm2).
– Vulnerabilidad de escalación de privilegios local de AnyConnect (cisco-sa-20170607-anyconnect).
– Vulnerabilidad de denegación de servicio de TelePresence Endpoint (cisco-sa-20170607-tele).
Para remediar estas vulnerabilidades mencionadas, los administradores de los equipos deben aplicar los respectivos parches de seguridad.
II. Impacto
Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total del sistema.
III. Referencia a soluciones, herramientas e información
a. https://www.us-cert.gov/ncas/current-activity/2017/06/07/Cisco-Releases-Security-Updates
b. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-dcnm1
c. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-dcnm2
d. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-anyconnect
e. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-tele
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa