Cisco łata Secure Access Control System
- Antoni Steliński,
- 16.01.2014, godz. 14:22
Koncern Cisco udostępnił zestaw aktualizacji, usuwających z urządzenia Cisco Secure Access Control System trzy poważne błędy, umożliwiające nieautoryzowanym użytkownikom uzyskanie dostępu do platformy ACS i uruchamianie na niej komend bez autoryzacji.
Cisco ACS to sprzęt serwerowy, umożliwiający wdrożenie i egzekwowanie polityki kontroli i dostępu w firmowych sieciach przewodowych i Wi-Fi. Urządzeniem steruje się z poziomu webowego interfejsu – obsługuje ono protokoły RADIUS (Remote Access Dial In User Service) oraz TACACS+ (Terminal Access Controller Access-Control System Plus).
Okazało się, że w starszych (5.5 i wcześniejsze) wersjach oprogramowania Cisco Secure ACS znajdują się poważne błędy. Dwa z nich występują w interfejsie RMI (Remote Method Invocation), wykorzystywanym do komunikowania się przez różne urządzenia ACS. Pierwszy (CVE-2014-0648) związany jest z niedostatecznym żądaniem autoryzacji i pozwala niezarejestrowanym użytkownikom na wykonywanie operacji, które powinny być zarezerwowane wyłącznie dla administratora.
Zobacz również:
Kolejna luka (CVE-2014-0649) jest nieco mniej poważna, bo aby z niej skorzystać niezbędne jest posiadanie choćby minimalnych uprawnień użytkownika w ACS (błąd pozwala na ich nieautoryzowane zwiększenie). Ostatni z błędów - CVE-2014-0650 – występuje w interfejsie webowym i umożliwia nieautoryzowanym użytkownikom "wstrzykiwanie" komend, które będą wykonane bez niezbędnego zweryfikowania uprawnień.
Zalecanym przez producenta sposobem rozwiązania problemu jest skorzystanie z udostępnionych właśnie aktualizacji – znaleźć je można na stronie Cisco.