Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora

Soporte de vulnerabilidades

Servicio de soporte de vulnerabilidadesAnálisis, notificación y seguimiento de aquellas vulnerabilidades más críticas, que impactan especialmente en las tecnologías empleadas en el sector público. El CCN-CERT trabajará en la recopilación y clasificación de las nuevas vulnerabilidades, realizando un análisis teórico y en laboratorio, cuando sea posible, de aquellas que por su criticidad lo requieran.

Se generarán documentos informativos o “abstracts” de dichas vulnerabilidades y se llevará a cabo un seguimiento de la evolución de la vulnerabilidad en Internet, alertando a los organismos ante cambios en la criticidad, aparición de parches, nuevas recomendaciones, constancia de explotaciones activas, etc.

Para inscribirse en este servicio o recibir más información, escribir al correo electrónico: soporte_acreditacion@ccn.cni.es

Abstracts:


Boletines de Vulnerabilidades


Vulnerabilidades en CISCO Unity sobre servidores IBM

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de privilegios
Dificultad Avanzado
Requerimientos del atacante Acceso remoto con cuenta

Información sobre el sistema

Propiedad Valor
Fabricante afectado Networking
Software afectado Cisco Unity systems on IBM-based Servers

Descripción

Recientes instalaciones de CISCO Unity sobre servidores IBM contienen cuentas de usuario y direcciones IP por defecto, que deben ser eliminadas o deshabilitadas inmediatamente para prevenir posibles violaciones de seguridad en el sistema.

Los sistemas vulnerables pueden ser identificados por el "part number" impreso en el disco de instalación, o siguiendo las medidas descritas a continuación.

Cada vulnerabilidad puede ser verificada y eliminada sin necesidad de una actualización o reinstalación de software. Estas vulnerabilidades sólo existen en los sistemas CISCO con los "part number" indicados.

Detalles técnicos
Esta situación se debe a configuraciones de pruebas usadas durante la fabricación, que posteriormente no fueron deshabilitadas o borradas.
A continuación describiremos cada una de ellas.

Cuenta de usuario
Una cuenta de usuario local “bubba” fue creada durante pruebas de fabricación y expone el sistema a un acceso no autorizado.

RAID Manager
Después de la instalación , si el servicio RAID management está configurado para iniciarse automáticamente y no restringido a accesos locales, el servicio intentará establecer una sesión TCP con la direccion de un servidor RAID usado durante las pruebas de fabricación, y escuchará en el puerto TCP 34571 para conexiones remotas.
La conexión TCP se realiza contra la dirección IP contenida en el archivo RaidNLst.ser dentro del directorio C:Program FilesRaidMan . Éste es un archivo de configuración que indica cómo y a quién son enviados los mensajes de notificación generados por el RAID Management service (RaidServ.exe).


DHCP
Después de la instalación, si el sistema está configurado para obtener una dirección IP desde un servidor DHCP y no existe un servidor local, éste enviará peticiones hacia el servidor DHCP de la red de pruebas que se usó durante la fabricación.

Solución

Para solucionar este problema, CISCO ha proporcionado las instrucciones que se proporcionan a continuación.


Siga las instrucciones proporcionadas por CISCO

Cuenta de usuario por defecto
Borrar la cuenta de usuario "bubba": Dirígase al menú Inicio; Configuración; Panel de control; Herramientas administrativas; Administración de equipos; Usuarios y grupos locales; Usuarios; haga click con el botón derecho sobre la cuenta de usuario "bubba" y seleccione Eliminar. Si la cuenta de usuario "bubba" no existe, no está afectado por este problema.

RAID Manager
Eliminar todas las entradas en el programa RAID Manager para el envío de notificaciones, en el archivo RaidNLst.ser . Inicio -> Programas-> ServeRAID Manager-> Actions menu-> Configure ServeRAID Agent->select Notifications. En la nueva ventana, hacer click con el botón derecho sobre la fila del RAID Management server y selecionar Delete System. Cerrar la aplicación. No es necesario reiniciar el sistema.
Cambiar el servicio RAID Management service a local y desactivar la escucha sobre el puerto 34571: Inicio -> Configuración -> Panel de Control -> Servicios ->ServeRAID Management Service -> Poner estado a "disable". Luego , Inicio -> Programas -> ServeRAID Manager ; ir al menú File; seleccionar User Preferences -> Remote Access Settings tab. En "Startup mode", marcar la casilla "Local only" y aceptar todos los cuadros de diálogo. No es necesario reiniciar el sistema.

DHCP
Configure una IP estática para el servidor, en lugar de asignársela mediante DHCP. Esto evitará los problemas.

Identificadores estándar

Propiedad Valor
CVE CAN-2003-0983
BID NULL

Recursos adicionales

Cisco Security Advisory Document ID: 47186
http://www.cisco.com/warp/public/707/cisco-sa-20031210-unity.shtml

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2003-12-15
Volver

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración