Reparan switches de Cisco para pequeñas empresas

La actualización de Cisco para esta semana incluye una enmienda en una vulnerabilidad crítica en un switch de Ethernet para pequeñas empresas.

La serie de switches Smart Plus 220 para pequeños negocios contiene una comunidad de Protocolo Simple de Administración de Red (SNMP) de codificado fuerte, lo que significa que si es visible en internet, un atacante remoto puede acceder a los objetos SNMP.

Mientras que Cisco considera la vulnerabilidad como crítica, también aduce que SNMP está apagado por defecto en los dispositivos; sólo si el protocolo de gestión se activa el dispositivo es vulnerable.

Está presente en switches con firmware 1.0.0.17, 1.0.0.18, y 1.0.0.19; hay disponible nuevo firmware.

Los mismos switches también tienen problemas en su interface web: una falsificación de petición en sitios cruzados, inyección de JavaScript (XSS) y denegación de servicio.

El reproductor de reuniones WebEx puede ser roto por un atacante remoto; en experiencia del autor pude ser vulnerado solo con unirse a la reunión, así que hay una nueva versión disponible.

También hay un par de pequeñas vulnerabilidades del sistema operativo del disco (DoS) en el software de control de la red LAN de Switchzilla.

Fuente: Seguridad.unam.mx