Puede ser explotada por atacantes para saltarse mecanismos de autenticación de usuarios, pudiendo acceder a cualquier recurso que utilice como control de acceso una versión vulnerable.
Cisco Secure Access Control Server para Windows (ACS Windows) y Cisco Secure Access Control Server Solution Engine (ACS Solution Engine) proporcionan servicios centralizados de autenticación, autorización y cuentas y políticas de acceso a dispositivos de red como servidores de acceso a red, Cisco PIX y routers.
El problema anunciado se debe a que es posible autenticarse mediante el uso de un certificado no válido, pero criptográficamente correcto (que, por ejemplo, prevenga de un CA que no sea de confianza o haya caducado), siempre que se utilice un nombre válido de usuario.
Para una posible explotación de esta vulnerabilidad el dispositivo tendría que estar configurado para utilizar EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) salvo en algunas excepciones. Por ejemplo no sería posible la explotación de la vulnerabilidad si EAP-TLS está configurado para hacer solamente comparación binaria de certificados como método único de comparación y si la entrada de usuario en LDAP/AD (Lightweight Directory Access Protocol/Active Directory) contiene únicamente certificados válidos.
El fabricante recomienda la actualización a la versión 3.3.2 o en su caso a puesto a disposición de los usuarios unas dll, que corrigen el problema. Las dll pueden bajarse de:
Además de fakes news, en internet encontramos múltiples formas de desinformación: clonación de medios de…
Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…
Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…
Del porcentaje global del 21 % se baja a un 18 % en el caso…
Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las principales amenazas…
Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…