De Hispasec – Una al Día: Ejecución de comandos en Cisco Unified Computing System Performance Manager (24/07/2016)

Publicado el 29/07/2016 por Hector Suarez Planas
Ejecución de comandos en Cisco Unified Computing System Performance Manager

domingo, 24 de julio de 2016

Cisco ha confirmado una vulnerabilidad en el entorno web de Cisco Unified Computing System (UCS) Performance Manager que podría permitir a un atacante remoto sin autenticar ejecutar comandos arbitrarios en los sistemas afectados.

Cisco_LogoLa solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos. Cisco Unified Computing System es una nueva plataforma de data center que unifica cómputo, redes, acceso a almacenamiento y virtualización en un sistema unificado.

El problema, con CVE-2016-1374, se debe a la insuficiente validación de las entradas de los parámetros pasados a través de una petición HTTP GET. Un atacante podría explotar esta vulnerabilidad mediante el envío al sistema afectado de peticiones HTTP GET específicamente construidas, lo que le permitiría ejecutar comandos arbitrarios con privilegios de usuario root.

Se ven afectados los sistemas Cisco UCS Performance Manager versiones 2.0.0 y anteriores. Cisco ha publicado la versión 2.0.1 para solucionar esta vulnerabilidad.

Más información:

Cisco Unified Computing System Performance Manager Input Validation Vulnerability

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160720-ucsperf

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Brechas de Seguridad, Cisco, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *