Fallos de seguridad en los IOS, WLAN e IPS de Cisco

Cisco Systems ha alertado a sus usuarios sobre tres diferentes vulnerabilidades existentes en su sistema operativo IOS (Internetwork Operating System) y sus soluciones wireless LAN (WLAN) y sistemas de detección de intrusiones (IPS).
El agujero más crítico en el sistema operativo IOS permitía a los intrusos utilizar el router de Cisco para poner en funcionamiento cualquier programa o clave de software elegida. El problema se debe a un error al procesar paquetes IPv6 (versión 6 del Internet Protocol), modificados de tal forma, que se puede provocar un desbordamiento de la memoria heap (área de memoria dinámica disponible para el uso de cada programa). La vulnerabilidad puede ser explotada por cualquier atacante, sin necesidad de autentificarse, para ejecutar código de forma arbitraria, comprometiendo al sistema completo.
Para frenar esta vulnerabilidad, la compañía lanzó un parche el pasado mes de agosto, que ofrecía una solución parcial al corregir un error en el proceso de los paquetes IPv6, que al ser modificados, podría provocar un desbordamiento de la memoria heap. La solución fue insuficiente ya que no ofrecía una actualización integral. Ésta ha sido publicada recientemente por Cisco y agregan esta vez unas comprobaciones extras que garantizan la integridad de los contadores de tiempo del sistema, reduciendo la posibilidad de que se pueda ejecutar el código de forma remota.
Según fuentes de la compañía, los productos afectados por esta vulnerabilidad son Cisco IOS del 12.0 al 12.4.
Por otra parte, el problema de seguridad de WLAN concierne a un problema en la integración entre los puntos de acceso de Cisco y los controladores de Airspace, adquiridos por Cisco el pasado mes de enero.
El tercero de los fallos atañe a problemas de comunicación entre los routers basados en IOS y sus funcionalidades para sistemas de detención de intrusiones. Como resultado de dicho fallo podrían producirse intromisiones maliciosas en la red.
La vulnerabilidad del sistema Internetwork Operating System fue hecha pública el pasado 27 de julio en la conferencia de Black Hat (Estados Unidos), por Michael Lynn, experto en seguridad de la compañía ISS (Internet Security Systems), mientras que los otros dos fallos de seguridad fueron descubiertos por el propio equipo de investigación y seguridad de Cisco.

Viñeta publicada el 20 de febrero de 1870 en La Flaca n.º 35 Tendencias

ny2 ACTUALIDAD

ny2 Sociedad de la información

Día de la Movilidad y el BYOD Coffee Break