Cisco Systems publicó un alerta ‘cisco-sa-20121107-acs’ en la que advierte en el informe sobre su error en Cisco ACS que podría permitir a un hacker autenticarse como cualquier usuario en la red sin conocer su contraseña.

Cisco Secure Access Control System (ACS) es un sistema de control de acceso que opera como servidor RADIUS y TACACS+, administrando la autenticación del usuario, el control de acceso al dispositivos y políticas de control centralizadas en la red.

La vulnerabilidad se debe a un error en la validación de la contraseña proporcionada por el usuario cuando Cisco ACS está configurado con un almacenamiento de identidad externo LDAP (Lightweight Directory Access Protocol) y el sistema de autenticación está basado en TACACS+.

El error podría ser aprovechado por un atacante para eludir el sistema de autenticación basado en TACASS+, lo que podría permitir al atacante hacerse pasar por la víctima. Para poder realizar el ataque con éxito, es necesario que el atacante conozca el nombre de la víctima almacenado en el almacén de identidades LDAP y proporcionar una cadena de caracteres como contraseña especialmente manipulada cuando se le pregunta.

A la vulnerabilidad, con el bug id de Cisco CSCuc65634 se le ha asignado el identificador CVE-2012-5424.

Para solucionar el problema, las versiones 5.0, 5.1 y 5.2 deberán de instalar el parche 11 de la versión 5.2, mientras que la versión 5.3 tendrá que actualizarse con el parche 7.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/11/vulnerabilidad-en-cisco-acs-permite.html#comments

Más información:

Cisco Secure Access Control System TACACS+ Authentication Bypass Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121107-acs

Fuente:
Jose Ignacio Palacios Ortega
jipalacios@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen: 
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
 
Logos/Imágenes MR Respectivas Compañías mencionadas en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar