Cisco Systems a été frappé par une double série de problèmes inhabituels, l'un de nature logicielle et l'autre de nature matérielle. Le premier, le plus grave, concerne une faille dans le pare-feu. Elle a été révélée par le chercheur en sécurité Positive Technologies. Selon l’avis publié par l’entreprise de sécurité, une faille dans les appliances de pare-feu de Cisco pourrait permettre aux pirates d’entraver leur fonction de protection. Le problème se situe dans les pare-feux Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD). D’après Forrester Research, plus d'un million d’appliances de ce type sont déployés dans le monde. Positive Technologies estime que le niveau de gravité de la vulnérabilité est élevé et recommande aux utilisateurs d'installer dès que possible les mises à jour disponibles.
Nikita Abramov, chercheur de Positive Technologies, explique que « si des pirates informatiques perturbent le fonctionnement de Cisco ASA et de Cisco FTD, l’entreprise utilisatrice se retrouvera sans pare-feu et sans accès à distance (VPN) ». Ajoutant que « si l'attaque réussit, les employés ou partenaires distants ne pourront pas accéder au réseau interne de l’entreprise, et l'accès depuis l'extérieur sera restreint ». Le chercheur ajoute encore qu'un attaquant n'a pas besoin de privilèges élevés ou d'un accès spécial pour exploiter la vulnérabilité. « Il lui suffit d’une simple requête HTTPS, dans laquelle l'une des parties sera de taille différente de celle attendue par le dispositif. Le parsing de la requête provoquera un dépassement de tampon, et le système sera brusquement arrêté, puis redémarré ».
Un correctif déjà disponible
Dans son propre billet de blog sur le sujet, l’équipementier a déclaré que les vulnérabilités étaient dues à une mauvaise validation des entrées des demandes HTTPS. Un attaquant pourrait envoyer une requête HTTPS malveillante à un appareil affecté, provoquant son redémarrage, ce qui entraînerait un déni de service (DoS). Cisco a déclaré que l'exploitation de cette vulnérabilité peut provoquer une fuite de mémoire, de sorte que les utilisateurs peuvent définir une alerte sur l'utilisation élevée de la mémoire comme signe d’attaque. Cisco est conscient du problème, et le billet de blog indique comment obtenir les mises à jour, déjà disponibles, qui permettent de résoudre ce problème. Interrogé sur ces failles, Bruno Caille, le directeur technique de Cisco France, nous a indiqué que « l’essentiel était de rapidement proposé un correctif, ce qui est déjà le cas ici ».
Des vis mal serrées
Le problème de hardware est plus banal. Selon l’alerte publiée par Cisco à l’attention des propriétaires de systèmes Unified Compute Systems (UCS), sur un nombre limité de châssis UCS X9508 abritant les serveurs, il peut arriver que le module d'alimentation Power Entry Module (PEM) ne soit pas bien vissé dans le châssis et il pourrait se détacher quand le cordon d'alimentation est débranché du châssis. « Les vis imperdables conçues pour fixer le module PEM n'ont pas été correctement serrées et certains châssis ont été expédiés avec un module mal fixé ». Par conséquent, « le PEM peut glisser hors du châssis quand le cordon d'alimentation est retiré ». Le PEM présente deux cordons d'alimentation. L’opération ne nécessite ni correctif, ni téléchargement, juste un tournevis torx T10. Cisco conseille de mettre le serveur hors tension, mais de ne pas retirer les fiches ou le PEM avant de serrer les vis. C'est le choix d'un nouveau partenaire - sur fond de pénurie pour cause de pandémie - qui a entrainé ce dernier dysfonctionnement, nous a assuré le directeur technique de Cisco France.
Commentaire