La versión de Cisco IOS permite el robo de contraseñas

Escrito por Adrián Crespo
Seguridad
2

Unos investigadores han descubierto que el algoritmo  encargado de cifrar las contraseñas en el sistema operativo de Cisco  tiene varios problemas de seguridad que hacen que las contraseñas puedan ser obtenidas por terceras personas, sin la necesidad de que esta sea administrador del sistema. La compañía ya ha sido informada y ha puesto ha disposición de los usuarios un FAQ para resolver los problemas de Cisco IOS.

Anterior a este algoritmo, existía otro que a pesar de ser más antiguo, no tiene los problemas que se han presentado en el nuevo que ha sido estrenado recientemente. El problema reside en que uno de los módulos que forman parte del algoritmo está mal implementado, afectando a las versión 15 del sistema operativo de Cisco. El sistema es vulnerable a ataques de fuerza bruta, revelando la contraseña almacenada con ese tipo de cifrado.

Este tipo de cifrado es utilizado por una gran cantidad de funciones que pueden ser utilizadas en los equipos de red de hoy en día. Sin embargo, según han confirmado desde la compañía,  OSPF, BGP, RIP o IPSec no están afectados por esta vulnerabilidad que ha aparecido.

Problemas con las actualizaciones

Todos los equipos que han sido actualizados a una versión de Cisco IOS que posea el nuevo algoritmo de cifrado son vulnerables y de momento, si se quiere resolver el problema será necesario volver a la versión anterior del sistema operativo, ya que desde Cisco no han activado la retrocompatibilidad con el anterior tipo de cifrado de contraseñas que carecía de estos errores. Por lo tanto, hasta que se se corrija el error, la solución provisional podría decirse que sería instalar una versión del sistema operativo que posea el algoritmo anterior de cifrado.

La versión que será utilizada

Desde Cisco quieren poner fin cuanto antes a estos problemas ya que la versión problemática es la que va a ser utilizada en las versiones de Cisco IOS, por lo que todos aquellos usuarios o compañías que sigan utilizando este tipo de cifrado en sus sistemas se verán obligados a cambiar al nuevo sistema.

Hasta que el problema sea resuelto, se recomienda seguir utilizando el antiguo, contenido en versiones de el sistema operativo anteriores a las 15.

Fuente | The H Security


Continúa leyendo
  • Luis M

    The bug only affects the enable secret … and username … secret … commands, eso no se usa mientras el radius funcione, aaa authentication method radius local, son best practices.

    Cisco sigue sacando versiones 12.4 puede actualizar el type 4 perfectamente en un 12.4 y en las 12.2 actuales de los switches. Vamos que podemos dormir tranquilos, ésto no afecta a nada de na

  • Luis M

    acabo de probar un ios nuevo de un 2960 y me recomienda no usar passwords de users locales en md5 y que los ponga en sha