CISCO: Relatórios Mostram Falhas Críticas nos Sistemas ACS e NAC

Com a publicação de dois relatórios de segurança na semana que passou, a CISCO aborda vulnerabilidades encontradas em alguns de seus produtos. O cisco-sa-20110330-acs é o primeiro deles, intitulado "Cisco Secure Access Control System Unauthorized Password Change Vulnerability" (vulnerabilidade de troca não-autorizada de senha no sistema seguro de controle de acesso da Cisco), trata-se de uma falha crítica de segurança.

Conforme a síntese feita pela Cisco: "Há uma vulnerabilidade em algumas versões do Cisco Secure Access Control System (ACS), que pode permitir que um atacante remoto e não-autenticado altere a senha de qualquer conta de usuário, sem a necessidade de fornecer a senha anterior. Para o sucesso deste ataque, a conta de usuário precisa estar situada em uma base de dados local."

Além disso, a Cisco informou que a falha não atinge contas de usuário alocadas em bases externas, assim como contas configuradas para administração do ACS. O segundo relatório (cisco-sa-20110330-nac) é relacionado à uma falha no NAC (Network Access Control), que possibilita à um usuário não-autenticado, acessar uma rede protegida devido a uma vulnerabilidade no software de autenticação RADIUS.


Saiba Mais:

[1] Cisco Security Advisory: http://www.cisco.com/warp/public/707...0330-acs.shtml