Vulnerabilidad afecta Video Surveillance Manager de Cisco

La empresa ha corregido una vulnerabilidad crítica en Cisco Video Surveillance Manager que podría ser explotada para obtener acceso raíz

Reportes de especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética afirman que Cisco ha solucionado una vulnerabilidad crítica en el software de Cisco Video Surveillance Manager que se ejecuta en algunas plataformas del Sistema de Computación Unificada de Seguridad y Protección (UCS). Esta falla podría dar a un atacante remoto no autenticado la capacidad de ejecutar comandos arbitrarios como raíz en sistemas específicos.

El software que se ejecuta en ciertos sistemas incluye credenciales predeterminadas y estáticas para la cuenta raíz que podrían permitir a los atacantes obtener el acceso mencionado. Las credenciales para la cuenta no están documentadas.

El aviso de seguridad publicado por Cisco menciona que “la vulnerabilidad se debe a la presencia de credenciales de usuario estáticas predeterminadas y no documentadas para la cuenta raíz del software afectado en ciertos sistemas. Un actor malicioso podría explotar esta vulnerabilidad utilizando la cuenta para iniciar sesión en un sistema afectado”.

La vulnerabilidad afecta el lanzamiento del software Cisco Video Surveillance Manager (VSM) en sus versiones 7.10, 7.11 y 7.11.1. La falla sólo afecta a los sistemas en los que el software fue preinstalado por Cisco.

“Según nuestros expertos en hacking ético, esta vulnerabilidad existe porque la cuenta raíz del software afectado no se deshabilitó antes de que Cisco instalara el software en las plataformas vulnerables, y las credenciales de usuario estáticas predeterminadas existen para la cuenta. Las credenciales del usuario no están documentadas públicamente”, continúa el aviso de la empresa.

Hasta este momento, no hay soluciones disponibles para esta vulnerabilidad, por lo que se recomienda a los usuarios de VSM actualizar a la versión 7.12 para mitigar los posibles riesgos.

Al ser cuestionada por especialistas en hacking ético, Cisco confirmó que no tiene conocimiento de ningún ataque que explote la vulnerabilidad.

“El Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) no tiene conocimiento de ningún anuncio público o uso malintencionado de la vulnerabilidad”, concluye el aviso de seguridad de la empresa.

Recientemente, Cisco emitió otro aviso de seguridad para una vulnerabilidad de credencial estática crítica en su software IOS XE.