Loin d'être épargné par les failles de sécurité, Cisco a annoncé avoir comblé une vulnérabilité critique dans ses systèmes de téléprésence, afin d'empêcher un utilisateur malveillant d'en prendre à distance le contrôle. Mais ce n'est pas tout puisque d'autres failles sévères ont également été réparées dans les systèmes FirePower ainsi que les appliances Adaptative Security. La vulnérabilité critique dans les logiciels de téléprésence de la firme américaine permet à des attaquants d'exploiter un mécanisme inapproprié d'authentification XML d'une API, via l'envoi de requêtes HTTP spécifiques. Une opération qui leur permettrait de contourner l'authentification et d'exécuter des configurations de changement et de commandes non autorisées sur le système.
Cette vulnérabilité est présente dans le TelePresence Codec (TC) ainsi que dans le logiciel Collaboration Endpoint (CE). Les terminaux affectés sont TelePresence Series EX, Integrator, C, MX, Profile, SX, SX Quick Set ainsi que VX Clinical Assistant et VX Tactical. Les utilisateurs ne pouvant pas installer de mises à jour sont invités à désactiver l'API XML pour contrecarrer la faille, bien qu'il ne sera plus possible de gérer alors les systèmes au travers de Cisco TelePresence Management Suite.
Par ailleurs, l'équipementier a également annoncé avoir patché deux autres vulnérabilités, sérieuses mais pas critiques, dans les produits de la gamme des appliances de sécurité FirePower (7000, 8000 ainsi qu'AMP) ainsi qu'une faille DDoS dans les systèmes FirePower pour les appliances Adaptive Security (ASA) 5585-X et le module SSP. Cisco enquête aussi sur les produits affectés par 6 autres vulnérabilités patchées liées à la librairie OpenSSL.
Commentaire