Categories: SeguridadVirus

Acceso no autorizado y denegación de servicio en dispositivos ONS de Cisco

Se ha descubierto que un usuario remoto puede conectarse al servicio

TFTP en el puerto 69 de UPD y ejecutar comandos GET y PUT. Se podría así

descargar los archivos de sistema en el TCC activo en los directorios

/flash0 o /flash1. Se podría provocar una denegación de servicio

subiendo archivos de sistema ONS corruptos a la tarjeta controladora.

Cisco ha asignado a esta vulnerabilidad el identificador CSCec17308 para los

dispositivos ONS 15327, ONS 15454 y ONS 15454 SDH mientras que el

identificador es el CSCec19124 para el ONS 15600.

Se ha

descubierto también que un usuario remoto puede conectar con el puerto

TCP 1080 y evitar enviar el último ACK de la comunicación para provocar

una denegación de servicio en los dispositivos ONS 15327, ONS 15454 y

ONS 15454 SDH, ya que provocará la reinicialización de dichos

dispositivos. En los ONS 15454, ONS 15327, y ONS 15454 SDH, el trafico

caerá temporalmente de los canales de datos síncronos mientras las

tarjetas de control activa y en espera están reiniciandose.

También se ha detectado que un usuario remoto puede conectarse al puerto

telnet y acceder a la cuenta de superusuario que ha sido bloqueada,

desactivada o suspendida con sólo usar la clave previamente configurada

para la cuenta.

La compañía ha informado que los dispositivos ONS

series 15800, ONS series 15500 Extended Service Platform, ONS 15302, ONS

15305, ONS series 15200 metro DWDM systems, y ONS series 15190 no están

afectados por este problema. También informa que los ONS 15327

funcionando con el ONS Release 1.x(x) y 3.x(x), y los ONS 15454 con ONS

Releases 2.x(x) y 3.x(x) tampoco están afectados.

Los Cisco

ONS Release 4.6(0) no se ven afectados por estas vulnerabilidades, pero

el fabricante recomienda actualizar al Release 4.6(1).

Los

procedimientos de actualización para los ONS 15327, 15454 y 15600 están

disponibles en las siguientes URLs (respectivamente):

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago