Cisco soluciona un fallo seguridad en Secure Access Control

Cisco ha publicado una actualización que soluciona un fallo en Secure Access Control System (ACS), que permitiría a un atacante resetear las contraseñas de las cuentas de los usuarios, y sin necesidad de tener que utilizar primero la contraseña original.

Una vez que el atacante ha cambiado la contraseña, las credenciales podrían utilizarse para acceder a las cuentas del usuario y realizar acciones con el nombre de cuenta robado. Además, el usuario original sería incapaz de entrar en su cuenta para corregir el problema porque habría cambiado la contraseña.

Cisco ha dicho que la vulnerabilidad afecta a ACS 5.1 con actualizaciones previas a Patch 6, y que ACS 5.2 con actualizaciones anteriores a Patch 3 también es vulnerable a los ataques.

Como suele ser habitual en estas ocasiones, Cisco recomienda instalar las actualizaciones en los sistemas que son vulnerables al fallo. Así que los usuarios de ACS 5.1 deben instalarse el Patch 6, mientras que los sistemas con ACS 5.2 tienen que optar por la actualización Path 3.

Además de la actualización de ACS, Cisco ha lanzado otra actualización para su componente Network Admission Control (NAC) Guest Server, que soluciona una vulnerabilidad que podría permitir que un usuario no autorizado superara las protecciones de seguridad cuando accede al sistema. Los usuarios que utilicen las versiones de Systems running NAC Guest anteriores a la 2.0.3 tienen que actualizar el software.