• Tweet

La compañía Australiana de consultoría de seguridad Assurance.com.au afirma que le ha llevado a Cisco casi tres meses el corregir las dos vulnerabilidades que afectan la seguridad de varios de sus productos.

El director de Assurance Adam Pointon, dice que los investigadores descubrieron las vulnerabilidades cuando estaban realizando pruebas a la Solución Inalámbrica de Red, el 29 de enero de este año.

Dijo que las fallas fueron reportadas al momento de descubrirlas, y Cisco las rectificó a la una de la mañana.

"Tomó un tiempo (para corregirlas)" dijo Pointon, concediendo que Cisco respondió correctamente a la alerta de Assurance.

De las dos vulnerabilidades, dijo, la más seria es la de "mostrar la linea de comandos", que permitiría a un administrador de un dispositivo Cisco, "entrar" a la interface restringida de administración y obtener acceso privilegiado al sistema operativo Linux que lo aloja.

"Es posible para un administrador tener acceso al sistema operativo al introducir un comando especialmente diseñado en la interface de texto de administración".

Los productos afectados incluyen Cisco Wireless Lan Solution Engine (WLSE), Cisco User Registration Tool (URT), CiscoWorks2000 Service Management Solution (SMS), Cisco Hosting Solution Engine (HSE), Ethernet Subscriber Solution Engine (ESSE), Cisco VLAN Policy Server (VPS) and Cisco Management Engine (ME1100 Series) y CiscoWorks Service Level Manager (SLM).

Cisco advirtió a Assurance que ESSE y SMS eran productos antiguos y no serían corregidos, dijo Pointon. Los clientes que utilicen dichos productos necesitarán pedir un parche a través del servicio a clientes.

Neal Wise, otro director de Assurance, agregó que las compañías debían entender que los dispositivos instalados en sus redes podrían proveer más de las funciones para las que fueron diseñadas si son comprometidos por un atacante.

"Si no se mantienen correctamente podrían significar un serio problema para la empresa", dijo, "Dichos dispositivos deben de mantenerse seguros como cualquier otra red en un equipo".

Ademas, Assurance en marzo del año pasado encontró problemas en el anti-spam y firewall manufacturados por Barracuda Networks, dijo Pointon. Este parche tomó 29 días en ser corregido.

La respuesta de cisco se encuentra en: http://www.cisco.com/warp/public/707/cisco-sr-20060419-priv.shtml#resp onse.