Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de salto de autenticación en Cisco Elastic Services Controller

Fecha de publicación 08/05/2019
Importancia
5 - Crítica
Recursos Afectados
  • Cisco Elastic Services Controller, ejecutando versiones de software 4.1, 4.2, 4.3, o 4.4 con REST API habilitado.
Descripción

Se ha detectado una vulnerabilidad de severidad crítica en Cisco Elastic Services Controller (ESC) que podría permitir a un atacante remoto sin autenticación saltarse la autenticación en REST API y realizar acciones en el sistema.

Solución
  • Cisco ha publicado una actualización que mitiga la vulnerabilidad en función de la versión de software. Es posible descargarla desde su centro de descarga de software.
  • Las versiones afectadas:
    • 4.1 actualizar a las versiones:
      • 4.1.0.100
      • 4.1.0.111
    • 4.2 actualizar a las versiones:
      • 4.2.0.74
      • 4.2.0.86
    • 4.3 actualizar a las versiones:
      • 4.3.0.121
      • 4.3.0.128
      • 4.3.0.134
      • 4.3.0.135
    • 4.4 actualizar a las versiones:
      • 4.4.0.80
      • 4.4.0.82
      • 4.4.0.86
  • La versión 4.5 y las anteriores a la 4.1 no se encuentran afectadas.
Detalle
  • La vulnerabilidad se debe a una validación incorrecta en las peticiones a la API. Un atacante podría explotar esta vulnerabilidad enviando una petición especialmente generada a la REST API, lo que podría permitir al atacante ejecutar acciones a través de la REST API con privilegios de administrador en el sistema afectado. Se ha reservado el identificador CVE-2019-1867 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Cisco Elastic Services Controller REST API Authentication Bypass Vulnerability
Etiquetas