CSIRT Panamá Aviso 2019-1-24 Cisco publica vulnerabilidad critica de seguridad en switches.
Gravedad: Crítica
Fecha de publicación: enero 24, 2019
Fecha de modificación: enero 24, 2018
Última revisión: Revisión A.
Fuente: Cisco Security Advisories and Alerts
Sistemas Afectados
- Cisco Small Business 200 Series Smart Switches
- Cisco Small Business 300 Series Managed Switches
- Cisco Small Business 500 Series Stackable Managed Switches
- Cisco 250 Series Smart Switches
- Cisco 350 Series Managed Switches
- Cisco 350X Series Stackable Managed Switches
- Cisco 550X Series Stackable Managed Switches
I. Descripción
La empresa Cisco ha publicado vulnerabilidad critica que podría afectar a los switches con el ID de asesoramiento cisco-sa-20181107-sbsw-privacc. Vulnerabilidad en software de los switches que podría permitir a un atacante remoto eludir el control de autenticado. Referencia: CWE-298 y CVE-2018-15439.
La configuración predeterminada de los dispositivos vulnerables incluye una cuenta de usuario privilegiado predeterminado para inicio de sesión inicial y no se puede eliminar del sistema. Cisco no ha lanzado actualizaciones de software que aborde esta vulnerabilidad.
Una solución alternativa es crear otro usuario privilegiado en el nivel 15 y deshabilitar el usuario predeterminado sin eliminarlo.
Puede consultar la sección III. Referencia, para mayores detalles.
II. Impacto
Complejidad de Acceso: Critica.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso parcial o total del sistema.
III. Referencia a soluciones, herramientas e información
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-sbsw-privacc
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa