Error de Cisco Network Assurance Engine permite iniciar sesion con passwords antiguas

Cisco ha emitido un aviso de seguridad para la versión 3.0 (1) del Motor de Aseguramiento de la Red de Cisco (NAE) para un error que causa que los cambios de contraseña realizados a través de NAE no se sincronicen con la CLI del dispositivo asociado

Esto permitiría a un usuario poder acceder a un dispositivo a través de su CLI usando la contraseña anterior.

Cisco Network Assurance Engine (NAE) es un software de administración que utilizan los centros de datos o los centros de operaciones de red para monitorear sus redes y dispositivos y asegurarse de que cumplen con las políticas actuales.

A este error, titulado "Acceso a la CLI del motor de Cisco Network Assurance con vulnerabilidad de contraseña predeterminada", se le asignó un ID de Cisco de cisco-sa-20190212-nae-dos y el identificador CVE-2019-1688. La vulnerabilidad podría permitir a los usuarios que conocen la contraseña de administrador anterior iniciar sesión en el dispositivo a través de la CLI o realizar un cierre.

Según Cisco, este error solo afecta a la versión 3.0 (1) de NA y no afectará a quienes se hayan actualizado a esta versión. Sin embargo, si se realizan cambios en la contraseña con esta versión de NAE, no se sincronizarán con la CLI del dispositivo y permitirían que un usuario continúe accediendo al iniciar sesión directamente en el dispositivo.

"La vulnerabilidad se debe a una falla en el sistema de administración de contraseñas de NAE", afirma el aviso de Cisco . "Un atacante podría aprovechar esta vulnerabilidad al autenticarse con la contraseña de administrador predeterminada a través de la CLI de un servidor afectado. Una explotación exitosa podría permitirle al atacante ver información potencialmente sensible o hacer que el servidor caiga, lo que provoca una condición DoS".

Esta vulnerabilidad se ha corregido en Cisco NAE Release 3.0 (1a). Una vez que se instala esta actualización, Cisco declara que debe cambiar la contraseña del administrador nuevamente desde la interfaz web de administración para sincronizar correctamente las contraseñas.

Para aquellos que no deseen instalar esta actualización ahora, la única forma de sincronizar las contraseñas es cambiar la contraseña a través de la CLI del dispositivo mediante el comando passwd.

Fecha actualización el 2021-02-14. Fecha publicación el 2019-02-14. Categoría: cisco Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
cisco