Ir al contenido principal

Claves SSH por defecto en dispositivos Cisco

Imagen
De

Desde Hispasec nos cuentan:

Cisco ha publicado actualizaciones para sus dispositivos Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv) y Security Management Virtual Appliance (SMAv) después de encontrar que incluían claves SSH por defecto.

En esta ocasión son tres los dispositivos afectados:
Cisco Virtual Web Security Appliance (WSAv)
Cisco Virtual Email Security Appliance (ESAv)
Cisco Virtual Security Management Appliance (SMAv)
Que incluyen en dos tipos de claves SSH por defecto.

El primero de los problemas se debe a la inclusión de una llave SSH autorizada por defecto que es compartida en todas las instalaciones de WSAv, ESAv y SMAv. Un atacante podrá explotar la vulnerabilidad obteniendo la llave privada SSH y empleándola para conectar a cualquier a cualquier dispositivo afectado con privilegios de "root".

Por otra parte, también incluyen llaves de host SSH por defecto compartidas, igualmente, en todas las instalaciones de WSAv, ESAv y SMAv. Un atacante podrá obtener una de las llaves privadas SSH y emplearla para descifrar o falsificar la comunicación entre los dispositivos afectados.

Cisco ha publicado actualizaciones para los tres productos afectados. El parche borrará todas las llaves SSH preinstaladas en el dispositivo, tras lo cual se indicarán los pasos precisos para completar el proceso.  La actualización está disponible mediante el proceso de actualización habitual. Aparecerá como "cisco-sa-20150625-ironport SSH Keys Vulnerability Fix" y se debe instalar de forma manual empleando CLI.

Una vez más vuelve a pasar, un dispositivo o software incluye algún tipo de clave o contraseña por defecto "oculta" y que puede permitir a un atacante remoto que la conozca tomar el control del sistema afectado. No es la primera vez que le pasa a Cisco, pero tampoco es el único fabricante al que le ha pasado. Anteriormente, productos como Cisco TelePresence Recording Server, Cisco NetFlow Collection Engine o Cisco Wireless Location Appliances también incluyeron cuentas administrativas con contraseñas por defecto.

Más información:

Multiple Default SSH Keys Vulnerabilities in Cisco Virtual WSA, ESA, and SMA
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150625-ironport

una-al-dia (31/07/2011) Contraseña por defecto en Cisco TelePresence Recording Server
http://unaaldia.hispasec.com/2011/07/contrasena-por-defecto-en-cisco.html

una-al-dia (13/10/2006) Contraseña por defecto en Cisco Wireless Location Appliances
http://unaaldia.hispasec.com/2006/10/contrasena-por-defecto-en-cisco.html

una-al-dia (26/04/2007) Credenciales por defecto en Cisco NetFlow Collection Engine
http://unaaldia.hispasec.com/2007/04/grupo-de-parches-de-abril-para-diversos.html


Fuente original:
http://unaaldia.hispasec.com/2015/06/claves-ssh-por-defecto-en-dispositivos.html
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

La H-1B: El viaje de un desarrollador iOS desde Honduras hasta Silicon Valley

De
Desde toptal.com nos cuentan ... La experiencia de un desarrollador Latinoamericano que llego hasta Silicon Valler desde Honduras, un interesante artículo que nos cuenta la travesía de llegar a trabajar en San Francisco, California. He aquí un fragmento del articulo: Por estos días, vivo en la gran ciudad de San Francisco. Obtuve un trabajo que amo, y uno con el cual soñé con tener durante mucho tiempo. Parece fácil ahora, pero no siempre fue así. Cómo empezó todo Nací en  San Pedro Sula , un pequeño pueblo en la esquina noroeste de Honduras. Comencé a programar cuando tenía 12 años. Todo empezó con BASIC. Un día, estaba jugando un vídeo juego y se colgó. Cuando ví la pantalla llena de códigos de error y mensajes, me picó la curiosidad—entonces comencé a aprender algunos comandos BASIC, que eventualmente me llevaron a comprar libros de programación sobre Clipper, Turbo Pascal, C, C++, etc. Fue genial. Tenía todo el tiempo del mundo para gastar programando cualq...
Publicar un comentario
Leer más

Por Qué Los Startups Necesitan Una Guía De Estilo

De
Incluso para un diseñador con experiencia, crear una nueva guía de estilo para un producto es difícil—hay muchas direcciones de diseño posible, y el proceso puede rápidamente convertirse en algo abrumador. La vida del  startup  es bastante agitada, rápida, y llena de clichés como “la perfección es la enemiga de tener algo hecho”, “muévete rápido y rompe cosas”, o “lancemos ahora, arreglemoslo después”. Crear una guía de estilo bajo dichos eslóganes y prioridades fluctuantes es desafiante, pero es necesario si queremos que el diseño de un producto tenga éxito a largo plazo. La  Experiencia Global de Lenguaje (GEL) de la BBC explica el propósito de cada componente y cómo deberían ser utilizados. En años recientes, hemos escuchado mucho sobre sistemas de diseño, guías de estilo, librerías de patrones, y  diseño atómico . Y si bien estas herramientas son muy útiles, usarlas puede sentirse como un exceso cuando lo único que quieres es crear un par de pantalla...
Publicar un comentario
Leer más

Un Tutorial de Aprendizaje Profundo: De Perceptrones a Redes Profundas

De
IA (iiiii AAA) no .. no son solo un par de vocales son las siglas de "Inteligencia Artificial" un campo de la informática que estudia la inteligenia exhibida por las máquinas y hoy hablaremos de esto. Te vamos a enseñar conceptos básicos de IA de una forma fáci. Comencemos, el dia de hoy tenemos este super interesante artículo que nos comparten desde Toptotal.com sobre el "Aprendizaje profundo de perceptrones a redes profundas" y si te suena a Chino no lo es :) Te invito a que leeas este articulo: En los últimos años, ha habido un resurgimiento en el campo de la Inteligencia Artificial. Se ha extendido más allá del mundo académico, con grandes figuras como  Google , Microsoft y  Facebook , quienes han creado sus propios equipos de investigación, obteniendo impresionantes  adquisiciones . Se comenta que esto puede atribuirse a la gran cantidad de datos brutos generados por los usuarios de redes sociales, muchos de los cuales deben ser analizados, al igual qu...
Publicar un comentario
Leer más