09. 09. 2013

Cisco Secure Access Control Server (Secure ACS) je aplikace, která umožňuje centrálně spravovat přístup uživatelů k síťovým zdrojům. Kritická zranitelnost v Secure ACS pro Windows umožňuje vzdálenému útočníkovi spustit libovolný kód a převzít kontrolu nad systémem.

Charakteristika zranitelnosti

Chyba zabezpečení je způsobena nesprávnou analýzou uživatelských identit používaných pro ověřování EAP-FAST. Útočník by mohl tuto chybu zabezpečení zneužít odesláním vytvořených EAP-FAST paketů do postiženého zařízení. Exploit by útočníkovi umožnil spuštění libovolného příkazu na serveru Cisco Secure ACS a následně převzít úplnou kontrolu nad postiženým serverem.

Tato chyba zabezpečení dostala nejvyšší ohodnocení závažnosti 10,0 v systému Vulnerability Scoring (CVSS).

Postižené systémy

Chyba ovlivňuje Cisco Secure ACS pro Windows verze 4.0 až 4.2.1.15.

Dopad zranitelnosti

Umožní útočníkovi získat přístup k celému systému.

Řešení

Upgradovat na verzi Cisco Secure ACS pro Windows 4.2.1.15.11 a novější.

CVE

CVE-2013-3466

Odkazy

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130828-acs
http://secunia.com/advisories/54610
http://www.securityfocus.com/archive/1/528295
http://seclists.org/fulldisclosure/2013/Aug/279