Cisco eliminó una cuenta de Backdoor de su sistema operativo IOS XE que hubiera permitido a un atacante remoto iniciar sesión en los enrutadores y conmutadores de Cisco con una cuenta de alto privilegio
La compañía dice que la "cuenta de usuario no documentada" solo afecta a los dispositivos con Cisco XE Software 16.x, un sistema operativo implementado principalmente con enrutadores Cisco ASR y switches Catalyst.
Cisco dice que los dispositivos que ejecutan IOS XE 16.x vienen con una cuenta predeterminada oculta llamada "cisco" y una contraseña estática que Cisco no reveló para evitar futuros intentos de explotación.
Los dispositivos de Cisco generalmente no vienen con cuentas predeterminadas, y los administradores de red deben configurar una cuenta durante el primer arranque del dispositivo.
Como esta cuenta solo afecta a las versiones v16.x y usa el nombre de la compañía para el nombre de usuario, parece que esta ha quedado accidentalmente de la fase de desarrollo o prueba de IOS XE.
Además de los parches de software disponibles en el portal para clientes de Cisco, los administradores de dispositivos pueden eliminar la cuenta escribiendo: no username cisco
Este comando borra la cuenta. Si desean mantener el acuerdo, los administradores también pueden iniciar sesión en su dispositivo a través de su usuario administrador habitual y utilizar esa cuenta para cambiar la contraseña predeterminada de la cuenta de Cisco con una de su elección.
El error puede ser explotado remotamente
Esta vulnerabilidad de "puerta trasera" ( CVE-2018-0150 ) se considera crítica y tiene un puntaje de gravedad de 9.8 sobre 10.
Los atacantes pueden iniciar sesión en esta cuenta de forma remota y no necesariamente necesitan acceso físico al dispositivo. La cuenta concede al atacante un " acceso de nivel de privilegio 15 ", un término usado para describir cuentas de alto privilegio.
El parche para CVE-2018-0150 es una de las 22 actualizaciones de seguridad que el gigante del software de redes publicó.
Los parches también incluyen dos soluciones para otros dos defectos críticos: dos errores de ejecución de código remoto (CVE-2018-0151 y CVE-2018-0171).
Esta es la segunda cuenta de puerta trasera que Cisco eliminó de su software este mes de marzo. La compañía eliminó previamente una cuenta similar de Cisco PCP, una aplicación de software que se puede usar para la instalación y el mantenimiento remotos de otros productos de voz y video de Cisco.
Fecha actualización el 2021-03-29. Fecha publicación el 2018-03-29. Categoría: wannacry. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer