Relatórios de segurança da Cisco apontam falhas críticas nos sistemas ACS e NAC

A Cisco publicou, na última semana, dois relatórios de segurança sobre vulnerabilidades encontradas em seus softwares.

O primeiro (cisco-sa-20110330-acs), intitulado “Cisco Secure Access Control System Unauthorized Password Change Vulnerability” (vulnerabilidade de troca não-autorizada de senha no sistema seguro de controle de acesso da Cisco) é uma falha crítica de segurança, como resumida pela Cisco: “Existe uma vulnerabilidade em algumas versões do Cisco Secure Access Control System (ACS) que pode permitir que um atacante remoto e não-autenticado mude a senha de qualquer conta de usuário sem fornecer a senha anterior. Para o ataque ser bem sucedido, a conta de usuário precisa estar alocada em uma base de dados local.”

A Cisco informou, também, que a falha não afeta contas de usuário alocadas em bases externas, assim como contas configuradas para administração do ACS.

O segundo relatório – cisco-sa-20110330-nac – é referente a uma falha no NAC (Network Access Control), que pode permitir que um usuário não-autenticado acesse uma rede protegida devido a uma vulnerabilidade no software de autenticação RADIUS.

Via: Two Cisco advisories: cisco-sa-20110330-nac and cisco-sa-20110330-acs