Cisco : un mot de passe statique traînait encore

Cisco a révélé une faille critique affectant ses appareils ENCS 5400-W Series et CSP 5000-W Series. Celle-ci est due au fait que leur logiciel contient des comptes utilisateurs avec un mot de passe statique par défaut.

Au cours de tests internes, Cisco a découvert que ses services d’applications virtuelles en zone étendue (vWAAS) avec le logiciel d’infrastructure Cisco Enterprise NFV (NFVIS) embarquaient des images système contenant des comptes d’utilisateurs avec un mot de passe fixe.

NFVIS aide les clients à virtualiser les services réseau de Cisco tels qu’Integrated Services Virtual Router, l’optimisation virtuelle WAN, l’ASA virtuel, le contrôleur virtuel de réseau local sans fil et Next-Generation Virtual Firewall.

publicité

Le mot de passe par défaut permettait à un attaquant distant sans identifiant de se connecter à l’interface de ligne de commande NFVIS d’un appareil vulnérable avec des privilèges d’administrateur.

Les clients possédant les appareils concernés doivent appliquer les mises à jour Cisco si les appareils fonctionnent en mode vWAAS avec les versions 6.4.5, ou 6.4.3d et antérieures, du NFVIS-bundled image.

Il n’y a pas de solution de contournement, donc la mise à jour est la seule façon pour les clients de combler la faille, qui a une cote de gravité de 9,8 sur 10 et est suivie sous le numéro CVE-2020-3446.

Cisco énumère quatre conditions dans lesquelles un attaquant pourrait se connecter au NFVIS CLI, en fonction de la façon dont les clients ont configuré le dispositif :

  • Le port de gestion Ethernet pour l’unité centrale sur un appareil ENCS 5400-W Series vulnérable. Cette interface peut être accessible à distance si une IP routée est configurée.
  • Le premier port de la carte adaptateur Ethernet PCIe I350 à quatre ports sur un appareil de la série CSP 5000-W vulnérable. Cette interface peut être accessible à distance si une adresse IP routée est configurée.
  • Une connexion au CLI du logiciel vWAAS et un identifiant utilisateur valide pour s’authentifier sur le CLI vWAAS en premier lieu.
  • Une connexion à l’interface Cisco Integrated Management Controller (CIMC) de l’appareil ENCS 5400-W Series ou CSP 5000-W Series et un identifiant utilisateur valide pour s’authentifier d’abord sur CIMC.

Cisco a également publié deux autres avis de haute gravité auxquels il est possible de remédier en installant les mises à jour de logiciels qu’il a récemment mis à disposition.

De multiples vulnérabilités affectent les caméras IP de vidéosurveillance de la série 8000 de Cisco et peuvent permettre à un attaquant non authentifié dans le même domaine de diffusion que la caméra vulnérable de la mettre hors ligne.

Les failles résident dans le protocole de découverte Cisco, Cisco Discovery Protocol. “Un attaquant pourrait exploiter ces vulnérabilités en envoyant un paquet malveillant à la caméra IP ciblée”, explique Cisco dans l’avis pour les failles CVE-2020-3506 et CVE-2020-3507.

“Un exploit réussi pourrait permettre à l’attaquant d’exécuter du code sur la caméra IP affectée ou de la faire redémarrer de manière inattendue, entraînant une condition de déni de service (DoS)”.

Les caméras Cisco vulnérables sont celles utilisant une version de firmware antérieure à 1.0.9-4 et si le protocole Cisco Discovery est activé. Là encore, les clients doivent appliquer la mise à jour de Cisco pour protéger le modèle, car il n’y a pas de solution alternative.

Ce bug a été signalé à Cisco par Qian Chen de la Qihoo 360 Nirvan Team. Cependant, Cisco note qu’il n’a pas connaissance d’une activité malveillante utilisant cette vulnérabilité.

Le deuxième avis de haute gravité concerne une faille d’élévation de privilèges affectant le Cisco Smart Software Manager On-Prem ou SSM On-Prem. Il s’agit du CVE-2020-3443, avec un score de gravité de 8,8 sur 10.

Lors de tests internes, Cisco a découvert qu’un attaquant distant authentifié pouvait élever ses privilèges et exécuter des commandes avec des privilèges plus élevés jusqu’à un rôle administrateur, ce qui lui donnerait un accès complet au dispositif.

Le bug affecte toutes les versions de Cisco SSM On-Premise antérieures à la version 8-202004. Il affecte également toutes les versions 6.x de Cisco Smart Software Manager. Il s’agit des mêmes produits.

Les clients doivent installer les mises à jour de Cisco, car il n’y a pas de solution de rechange disponible.

En même temps qu’elle corrige les failles critiques et très graves, la société a également publié des correctifs pour 21 autres vulnérabilités de gravité moyenne.

Leave a Reply

Your email address will not be published. Required fields are marked *