Cisco cubre once brechas de seguridad en sus routers
Cisco ha emitido ocho actualizaciones de seguridad para cubrir once vulnerabilidades en el software de sistema operativo utilizado por sus routers, IOS (Internetwork Operating System).
Ninguno de los ocho partes, lanzados ayer por el fabricante, cubren vulnerabilidades públicamente conocidas hasta el momento de la actualización, aunque algunas de ellas habían sido comunicadas a Cisco por terceros.
La mayoría de las brechas resueltas pueden ser explotadas por los atacantes para interrumpir o entorpecer el servicio de los routers de la compañía, por lo general, si algún servicio concreto se encuentra activado, según Cisco.
Por ejemplo, la compañía ha cubierto dos fallos en su software SSL VPN que podrían aprovecharse para tirar abajo los routers. Uno de estos agujeros sería explotable mediante el envío de un paquete HTTPS específicamente manipulado al dispositivo. Tal fallo no afecta a los usuarios del dispositivo ASA 5500 ni al software Cisco IOS XR o XE.
Otro de las vulnerabilidades más serias resueltas con esta actualización, afecta a los sistemas que tengan habilitada la funcionalidad Secure Copy Protocol (SCP), utilizada para el soporte de transferencias de ficheros sobre la red. En este caso, el fallo permitiría a un usuario autenticado sobre el dispositivo “transferir archivos a y desde un sistema Cisco IOS configurado como servidor SCP, sin importar si está autorizado para ello”, según palabras de la propia compañía.
