Cisco a émis trois avis de sécurité qualifiés de « critiques » pour certains de ses logiciels haut de gamme : deux pour l’implementation Application Services Engine (ASE) et un pour le système d'exploitation NX-OS. Mais l’alerte la plus préoccupante concernait l'orchestrateur multi-sites Multi-Site Orchestrator (MSO) de l'infrastructure centrée sur les applications Application Centric Infrastructure (ACI) installé avec ASE, puisque son score était de 10, le pire du système d’évaluation Common Vulnerability Scoring System (CVSS). ACI Multi-Site Orchestrator permet aux clients de contrôler les politiques d'accès aux applications à travers les fabrics basés sur le contrôleur APIC (Application Policy Infrastructure Controller). Selon l'avis de sécurité, une vulnérabilité dans une API de point terminal d’ACI MSO installé sur ASE pourrait permettre à un attaquant distant non authentifié de contourner l'authentification sur un dispositif affecté. Une exploitation réussie pourrait permettre à un attaquant de recevoir un jeton avec des privilèges de niveau administrateur et de s'authentifier à l'API sur le MSO concerné et les dispositifs gérés Application Policy Infrastructure Controller (APIC). « La vulnérabilité est due à une validation incorrecte du jeton sur un terminal API spécifique et affecte Cisco ACI MSO exécutant une version 3.0 du logiciel uniquement quand il est déployé sur Cisco ASE », a déclaré la firme.
La seconde alerte critique, évaluée à 9,8 sur 10 sur l'échelle CVSS, concerne ASE lui-même, qui selon Cisco, est affecté par plusieurs vulnérabilités, en particulier :
- Une vulnérabilité permettrait à un attaquant d’obtenir un accès privilégié pour faire tourner des conteneurs ou invoquer des opérations au niveau de l'hôte. « La vulnérabilité est due à des contrôles d'accès insuffisants pour un service fonctionnant dans le Data Network. « Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes TCP sur mesure à un service spécifique », a déclaré Cisco.
- Une vulnérabilité pourrait permettre à un attaquant non authentifié et distant d'accéder à une API spécifique sur un appareil affecté. Une exploitation réussie permettrait à un attaquant de trouver des informations spécifiques à l'appareil, de créer des fichiers d'assistance technique dans un volume isolé et d'apporter des modifications limitées à la configuration. La vulnérabilité est due à des contrôles d'accès insuffisants pour une API fonctionnant dans le réseau de données. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP élaborées à l'API concernée. « Une exploitation réussie pourrait permettre à un attaquant de trouver des informations spécifiques à l'appareil, de créer des fichiers d'assistance technique dans un volume isolé et d'effectuer des modifications de configuration limitées », a déclaré le fournisseur.
Une vulnérabilité critique frappe NS-OX
Le dernier avis critique, dont le score CVSS est de 9,8 sur 10, concerne le système d'exploitation NS-OX des commutateurs Nexus de Cisco. Selon l’équipementier, une exposition dans la mise en œuvre d'un service interne de gestion de fichiers pour les commutateurs Nexus Series 3000 et les commutateurs Nexus Series 9000 en mode NX-OS autonome fonctionnant sous NX-OS pourrait permettre à un attaquant distant non authentifié de créer, supprimer ou écraser des fichiers arbitraires avec des privilèges root sur l'appareil. « Cette vulnérabilité existe parce que le port TCP 9075 n’est pas correctement configuré pour écouter et répondre aux demandes de connexion externe », a déclaré Cisco. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des paquets TCP sur mesure à une adresse IP configurée sur une interface locale sur le port TCP 9075. « Une exploitation réussie pourrait permettre à un attaquant de créer, supprimer ou écraser des fichiers arbitraires, y compris des fichiers sensibles liés à la configuration du dispositif », a déclaré Cisco. « Par exemple, l'attaquant pourrait ajouter un compte utilisateur à l'insu de l'administrateur du dispositif », a encore déclaré le fournisseur. Cisco a livré des mises à jour logicielles gratuites corrigeant ces vulnérabilités critiques et conseille aux clients de se rendre à cette adresse pour avoir plus d'informations.
Un certain nombre d'autres avis moins critiques concernant le portefeuille de commutateurs NS-OX et Nexus ont également été émis. L'un d'entre eux décrit une vulnérabilité dans la fonction NX-API du logiciel NX-OS de Cisco qui pourrait permettre à un attaquant distant non authentifié de mener une attaque CSRF (Cross-Site Request Forgery) sur un système affecté. Un exploit réussi pourrait permettre à un attaquant d'effectuer des actions arbitraires avec le niveau de privilège de l'utilisateur concerné. « L'attaquant pourrait voir et modifier la configuration du dispositif », a déclaré la firme. Un autre avis décrit une vulnérabilité dans la connexion VLAN de l'infrastructure de fabric. L'établissement d'une connexion VLAN des commutateurs Cisco Nexus 9000 Series Fabric Switches en mode ACI (Application Centric Infrastructure) pourrait permettre à un attaquant adjacent non authentifié de contourner les validations de sécurité et de connecter un serveur non autorisé au VLAN de l'infrastructure. « Une fois connecté au VLAN de l'infrastructure, l'attaquant peut établir des connexions non autorisées aux services APIC de Cisco ou rejoindre d'autres points d'extrémité hôtes », a déclaré la firme. Des mises à jour logicielles gratuites sont disponibles pour corriger ces failles.
Commentaire