Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Lug 06, 2017 Marco Schiaffino News, RSS, Vulnerabilità 0
Il bollettino di sicurezza pubblicato da Cisco nella giornata di ieri segnala tre vulnerabilità critiche (e altre di impatto minore) che riguardano tra gli altri strumenti dedicati al mondo enterprise come Elastic Services Controller e Ultra Services Framework.
E quando Cisco parla di vulnerabilità “critiche” è meglio prendere l’avvertimento sul serio. I bug in questione, infatti, sono di quelli che possono provocare un vero disastro.
La prima riguarda Elastic Services Controller (ESC) e si tratta di un problema di autenticazione. Nel dettaglio, si tratta delle credenziali di default di Cisco ESC UI, identiche per diverse installazioni e che possono essere utilizzate per creare un token di sessione come amministratore che permettono l’accesso a tutte le istanze dell’ESC web UI. Per correggere la falla è necessario aggiornare il software alle versioni 2.3.1.434 o 2.3.2.
La seconda è invece relativa al servizio AutoIT di Ultra Services Framework Staging Server e può portare all’avvio di esecuzione di codice in remoto con privilegi di root utilizzando input di comandi CLI fabbricati ad hoc.
L’ultima vulnerabilità riguarda sempre Ultra Services Framework, ma in questo caso a offrire il fianco a un attacco è il sistema di autenticazione dell’Ultra Automation Service. La colpa è dell’impostazione predefinita del servizio Apache ZooKeeper, che consente a un utente privo di credenziali di autenticazioni di accedere al sistema.
L’azienda ha corretto entrambi i bug nelle versioni 5.0.3 e 5.1, il cui download è disponibile sul sito del produttore ma, è bene ricordarlo, deve essere eseguito manualmente. L’elenco completo dei bug corretti nella tornata di update di Cisco è disponibile a questo indirizzo.
Gen 30, 2024 0
Gen 11, 2024 0
Ago 29, 2023 0
Apr 19, 2023 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...