Los equipos de seguridad de Cisco Systems han lanzado algunos parches de seguridad para corregir tres vulnerabilidades críticas en las cámaras IP de la serie Cisco Video Surveillance 8000. Acorde al reporte, las fallas reportadas permitirían a los actores de amenazas desactivar dispositivos afectados.
Las fallas existen debido a que Cisco Discovery Protocol permite el descubrimiento de equipos de red conectados, nombres, dirección IP y versión de sistema operativo. Los actores de amenazas podrían explotar las fallas enviando un paquete CDP malicioso a la cámara IP objetivo para ejecutar el código en el dispositivo afectado.
Estas fallas afectan a las cámaras IP con versión de firmware anterior a 1.0.9-4. Respecto a la vulnerabilidad más peligrosa en el reporte, identificada como CVE-2020-3446, afecta a los dispositivos Series ENCS 5400-W y CSP 5000-W, pues su software de infraestructura Cisco Enterprise NFV (NFVIS) contiene cuentas de usuario con una contraseña estática de forma predeterminada.
NFVIS ayuda a los clientes a virtualizar los servicios de red de Cisco, como el enrutador virtual de servicios integrados, la optimización de WAN virtual, el ASA virtual, el controlador de LAN inalámbrica virtual y el firewall virtual de próxima generación. Al contar con una contraseña predeterminada, un atacante remoto no autenticado podría iniciar sesión en la CLI de NFVIS del dispositivo vulnerable con derechos de administrador.
Se recomienda a los usuarios de dispositivos afectados instalar las actualizaciones de Cisco si los dispositivos ejecutan vWAAS con imágenes relacionadas con NFVIS versiones 6.4.5 o 6.4.3d y posteriores. Por el momento se desconoce la existencia de soluciones alternativas para mitigar el riesgo de explotación.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.