terça-feira, 8 de novembro de 2016

Vulnerabilidade de autenticação no Cisco Prime Home

Quem utiliza software de gerenciamento de assinantes da Cisco precisa de correção imediata




Os provedores de serviços que usam o Cisco Prime para gerenciar redes de consumidores precisam rodar um patch crítico. A vulnerabilidade apresentada pela Cisco dá a um invasor remoto privilégios administrativos completos sobre o sistema, graças à sua interface GUI da Web.

Uma requisição HTTP criada para um determinado URL permite que um invasor "obtenha um identificador de sessão válido para um usuário arbitrário" - assim abrindo todo o caminho até o administrador.

O problema afeta as versões 5.1.1.6 e anteriores do Cisco Prime Home (todas precisam ser migradas para 5.1.1.7) e 5.2.2.2 e anteriores (migrar para 5.2.2.3); As versões 6.0 e posterior estão limpas.

O outro alerta crítico mais recente está no roteador de agregação da série ASR 900: o dispositivo POP remoto está sujeito à execução remota de código. "A vulnerabilidade existe porque o software afetado executa verificações incompletas de limites em dados de entrada".

Uma solicitação maliciosa para sua porta TL1 pode forçar um reload do roteador, abrindo a janela para um invasor executar código arbitrário, obter controle ou forçar uma reload.

O bug está presente nos roteadores ASR 901, ASR 901 10G, ASR 901S e ASR 920, executando versões 3.17.0S, 3.17.1S, 3.17.2S, 3.18.0S e 3.18.1S do software IOS XE.

É recomenda usar sysadmins com ASR 900s executar um rastreamento de pilha para ver se eles foram comprometidos. O indicador é que o processo auxiliar TL1 falhou. Você verá uma mensagem como esta:

Exception to IOS Thread: Frame pointer 0x348D3D18, PC = 0x150255E4

UNIX-EXT-SIGNAL: Segmentation fault(11), Process = TL1 Helper Process -Traceback= 1#c2f8cd10bbd769d41be54f5792c0ec33 :10000000+50255E4 :10000000+33DEED0 :10000000+33DEED0 :10000000+33D6718 :10000000+33D5444

As listas de controle de acesso a infra-estrutura (IAC) podem ser usadas como uma solução alternativa e um patch está disponível.

Outros avisos que desembarcaram recentimente incluem:

Os endpoints de telepresença são vulneráveis ​​à injeção de comando local;
O controlador de infra-estrutura de diretiva de aplicativo é vulnerável a negação de serviço;
A filtragem do dispositivo de segurança de e-mail pode ser ignorada com um anexo de arquivo RAR;
Os roteadores da série ASR 5500 com cartões DPC2 podem ser hosed.

Curta pagina no facebook

domingo, 28 de agosto de 2016

Gerenciando Router CME Usando CCP

Gerir seu Router CME utilizando CCP oferece um número de vantagens, algumas das quais evidentes e outros não tão evidentes


Primeiro muitos pequenos escritórios empregam um único administrador cujo conhecimento e tempo seja distribuído entre várias tecnologias diferentes. Exigindo este nível de administrador para aprender um sistema completo de operação de linha de comando para interagir com CME é irrealista.

Da mesma forma, alguns escritórios ao redor do mundo contratam consultores ou administradores de rede para gerir a sua rede. CCP fornece uma interface gráfica de usuário fácil de usar (GUI) permite que um dos usuários tecnicamente mais disposto no escritório para cuidar da administração do dia-a-dia (mudança em números de diretório, adicionando telefones, etc.) sem o envolvimento de dedicação pessoal de TI. Finalmente, uma interface gráfica pode ser mais eficiente, por vezes, do que digitar comandos de configuração.

Embora a Cisco tenha lançado múltiplas ferramentas de gerenciamento GUI para configurar CME ao longo dos anos, duas ferramentas principais são usadas hoje: o CME GUI integrado e o Cisco Configuration Professional (CCP) que não serão abordadas em detalhes neste post.

Preparando o Router CME para o Cisco Configuration Professional


Antes de um CCP poder conectar-se e configurar um roteador (ou switch), uma conectividade IP básica deve ser estabelecida para que o PC executando o CCP possa acessar o dispositivo. Em seguida, o serviço web (e / ou serviço web seguro) no dispositivo deve ser ativado. Em seguida, uma conta com acesso EXEC privilegiado deve ser criada e, finalmente, o roteador configurado para usar o nome de usuário de base de dados local para autenticação de conexões vinda do PC com CCP.

As quatro configurações a seguir resumem os elementos-chave que deve ser inserido no dispositivo para a obtenção do trabalho CCP:

  • Endereço de IP acessível: O PC contendo o CCP deve ser capaz de comunicar-se com o roteador CME sobre o endereço IP que você especificar.
  • Nível de nome de usuário e senha: Ativar o servidor HTTP no dispositivo para permitir que o utilitário CCP encontre o roteador CME.
  • Serviços HTTP integrados: Ative o serviço HTTP no dispositivo para permitir que o utilitário CCP descubra o roteador CME.
  • A autenticação local por Telnet / SSH: Registros do PC no roteador CME usando a conta privilegiada definida acima para aplicar base de configurações na integração GUI.

Segue uma tela de exemplo de configuração:


Cisco CCP no CME
Configuração CCP no Router CME

Conteúdo Relacionado: