Quelques jours après son événement annuel à Las Vegas, Cisco Systems a publié des correctifs pour combler pour plusieurs vulnérabilités dans son système d’exploitation IOS qui équipe ses solutions de vidéoconférence WebEx et Meeting. La vulnérabilité la plus grave affecte le logiciel IOS XR qui anime la gamme de routeurs Network Convergence (NCS) 6000. Elle peut conduire à un déni de service, plaçant les équipements dans un état non opérationnel. Des attaques distantes sans authentification préalables peuvent exploiter la vulnérabilité en lançant un certain nombre de connexions vers un équipement vulnérable en passant par Secure Shell (SSH), Secure Copy Protocol (SCP) ou Secure FTP (SFTP).
Parce qu'il peut affecter la disponibilité d'un élément essentiel de l'équipement, comme un routeur, Cisco a classé cette vulnérabilité en tant que haute gravité. Il n'y a aucune solution de contournement et les clients sont invités à installer les correctifs proposés. Un autre défaut touchant le logiciel IOS XR pourrait permettre à des attaquants d'exécuter des commandes arbitraires sur le système d'exploitation avec les privilèges root. Cette vulnérabilité affecte la version 6.0.1.BASE du logiciel IOS XR et a été évalué comme une gravité moyenne parce que l'attaquant doit être authentifié en tant qu'utilisateur local.
Des attaques très variées
Une vulnérabilité de déni de service a été également fixée dans le logiciel IOS. Elle peut être utilisée pour bloquer les appareils fonctionnant sous les versions affectées du logiciel en envoyant des paquets spécialement conçus via Link Layer Discovery Protocol (LLDP). Si l'exploitation ne nécessite pas d'authentification, l'attaquant doit toutefois être en mesure d’envoyer des paquets LLDP. Le firmware de la plate-forme pour réseaux mobiles ASR 5000, utilisée en 3G et LTE, a reçu une mise à jour qui corrige une vulnérabilité dans l’implémentation SNMP (Simple Network Management Protocol). Cette faiblesse aurait permis à des attaquants de lire et de modifier la configuration de l’équipement cœur de réseaux mobiles pour les services des opérateurs.
Les serveurs dédiés aux services de vidéoconférence de Cisco ont également fait l'objet de correctifs cette semaine. Une vulnérabilité dans l'interface HTTP du Cisco Meeting Server, anciennement Acano Conferencing Server, aurait pu permettre à des cyberpirates de lancer des attaques en utilisant des scripts XSS. Les attaquants pourraient exploiter cette faille en incitant les utilisateurs à cliquer sur des liens malveillants afin d’exécuter du code JavaScript dans leur navigateur qui accueille une cession Cisco Meeting Server. Les cyberpirates pourraient notamment dérober des cookies d'authentification ou effectuer des actions non autorisées.
Injection SQL pour voler des données
Deux vulnérabilités XSS ont été également comblées dans la version 2.6 de Cisco WebEx Meetings Server, l'une dans l’interface d'administration et l’autre dans l'interface utilisateur. Les deux auraient pu être exploités en incitant les utilisateurs à visiter des liens spécialement conçus pour conduire des attaques. Cisco WebEx Meetings Server a également reçu des correctifs pour corriger une vulnérabilité d'injection SQL qui pourrait permettre à des attaquants d'extraire des informations à partir dans sa base de données et commander des insertions de codes.