L'équipementier Cisco a émis cinq avis pour des failles de sécurité affectant ses offres SD-WAN. Trois vulnérabilités sont qualifiées de très critiques par l’équipementier. La faille la plus grave concerne l'interface en ligne de commande (CLI) du logiciel SD-WAN Solution. Selon Cisco, « cette vulnérabilité pourrait permettre à un attaquant local d'injecter des commandes arbitraires et de les exécuter avec des privilèges root ». Un attaquant pourrait exploiter cette vulnérabilité - elle affiche un score de 7,8 sur 10 dans le Common Vulnerability Scoring System (CVSS) - en s'authentifiant sur l'appareil et en soumettant des données élaborées à l'utilitaire CLI. L'attaquant doit être authentifié pour accéder à l'utilitaire CLI. « La vulnérabilité est due à une validation insuffisante des entrées », a précisé Cisco.
Une autre vulnérabilité hautement critique permettrait à un attaquant local authentifié de gagner des privilèges root au niveau du système d'exploitation sous-jacent. L’attaquant pourrait exploiter cette vulnérabilité en envoyant une requête élaborée à un système affecté. « Une attaque réussie pourrait lui permettre de gagner des privilèges root », a indiqué Cisco. Cette vulnérabilité est due à une validation insuffisante des entrées. La troisième vulnérabilité hautement critique identifiée dans le logiciel SD-WAN Solution pourrait permettre à un attaquant de provoquer un débordement de tampon sur un dispositif affecté. « L’attaquant pourrait exploiter cette vulnérabilité en envoyant un trafic sur-mesure vers un appareil affecté. Une exploitation réussie pourrait permettre à l'attaquant d'accéder à des informations qu’il n'est pas autorisé à voir et d'apporter au système des modifications qu'il n'est pas autorisé à faire », a encore expliqué Cisco.
Autoriser les mises à jour automatiques ?
Ces vulnérabilités affectent un certain nombre de produits Cisco qui exécutent une version du logiciel Cisco SD-WAN Solution antérieure à la version 19.2.2 : c’est le cas de vBond Orchestrator Software, des routeurs vEdge 100-5000 Series Router, de vManage Network Management System et de vSmart Controller Software. Selon Cisco, il n’y a pas de solution de contournement pour aucune des vulnérabilités. C’est pourquoi l’équipementier conseille aux utilisateurs d'accepter les mises à jour automatiques des logiciels afin d'atténuer les risques d'exploitation de ces failles. Des correctifs sont également disponibles pour ces logiciels. « Les trois failles à haut risque ont été reportés à Cisco par l’Orange Group », a précisé Cisco.
Les deux autres failles affectant le logiciel SD-WAN Solution, sont qualifiées de gravité moyenne. La première permet une attaque par cross-site scripting (XSS) contre l'interface de gestion basée sur le web du logiciel vManage et l’expose une attaque par injection SQL. Cette vulnérabilité XXS est due à une validation insuffisante des données fournies par l'utilisateur par l'interface de gestion basée sur le web. Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l'interface de cliquer sur un lien malveillant. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter un code de script arbitraire dans l'interface ou d'accéder à des informations sensibles basées sur un navigateur.
Correctif disponible
La vulnérabilité SQL est due à une validation incorrecte des valeurs SQL par l'interface web. Un attaquant pourrait exploiter cette vulnérabilité en s'authentifiant dans l'application et en envoyant des requêtes SQL malveillantes à un système affecté. « Une exploitation réussie pourrait permettre à l'attaquant de modifier les valeurs de la base de données sous-jacente ou de renvoyer des valeurs à partir de celle-ci et à partir du système d'exploitation », a déclaré Cisco. Cisco a crédité Julien Legras et Thomas Etrillard de Synacktiv pour le signalement de ces vulnérabilités. L’équipementier a déclaré que la version 19.2.2 de SD-WAN Solution corrigeait ces cinq vulnérabilités.