Cisco ACS to sprzęt serwerowy, umożliwiający wdrożenie i egzekwowanie polityki kontroli i dostępu w firmowych sieciach przewodowych i Wi-Fi. Urządzeniem steruje się z poziomu webowego interfejsu – obsługuje ono protokoły RADIUS (Remote Access Dial In User Service) oraz TACACS+ (Terminal Access Controller Access-Control System Plus).

Okazało się, że w starszych (5.5 i wcześniejsze) wersjach oprogramowania Cisco Secure ACS znajdują się poważne błędy. Dwa z nich występują w interfejsie RMI (Remote Method Invocation), wykorzystywanym do komunikowania się przez różne urządzenia ACS. Pierwszy (CVE-2014-0648) związany jest z niedostatecznym żądaniem autoryzacji i pozwala niezarejestrowanym użytkownikom na wykonywanie operacji, które powinny być zarezerwowane wyłącznie dla administratora.

Zobacz również:

• Microsoft i Quantinuum twierdzą, że otworzyły nowy rozdział w rozwoju komputerów kwantowych

Kolejna luka (CVE-2014-0649) jest nieco mniej poważna, bo aby z niej skorzystać niezbędne jest posiadanie choćby minimalnych uprawnień użytkownika w ACS (błąd pozwala na ich nieautoryzowane zwiększenie). Ostatni z błędów - CVE-2014-0650 – występuje w interfejsie webowym i umożliwia nieautoryzowanym użytkownikom "wstrzykiwanie" komend, które będą wykonane bez niezbędnego zweryfikowania uprawnień.

Zalecanym przez producenta sposobem rozwiązania problemu jest skorzystanie z udostępnionych właśnie aktualizacji – znaleźć je można na stronie Cisco.