Cisco a publié deux avis de sécurité critiques pour ses logiciels SD-WAN et DNA Center, dont l’un affichant un score Common Vulnerability Scoring System (CVSS) de 9,3 sur 10. Cette vulnérabilité, qui affecte le logiciel Digital Network Architecture (DNA) Center de Cisco, pourrait permettre à un attaquant non authentifié de connecter un périphérique réseau non autorisé au sous-réseau désigné pour les services en cluster. Selon Cisco, « une attaque réussie pourrait permettre à un attaquant d'accéder à des services internes qui ne sont pas protégés pour un accès externe ». « La vulnérabilité est liée à une restriction d'accès insuffisante sur les ports nécessaires aux opérations système », a déclaré Cisco, en précisant que le problème avait été identifié lors de tests de sécurité interne.
Cisco DNA Center permet aux équipes IT de contrôler l'accès par le biais de politiques s’appuyant sur la solution Software-Defined Access (SD-Access) de Cisco, d’assurer un provisionnement automatique via Cisco DNA Automation, de virtualiser des périphériques via Cisco Network Functions Virtualization (NFV), et de réduire les risques de sécurité par segmentation et en s’appuyant sur la solution Encrypted Traffic Analysis (ETA) de Cisco. Cette vulnérabilité affecte les versions antérieures à la version 1.3 de Cisco DNA Center Software, mais elle a été corrigée dans la version 1.3 et suivantes. « Les mises à jour système sont disponibles depuis le cloud de Cisco, mais pas à partir du Software Center de Cisco.com », a aussi indiqué l’équipementier. Pour mettre à niveau vers une version donnée de Cisco DNA Center Software, les administrateurs peuvent utiliser la fonction « System Updates » du logiciel.
Vulnérabilité SD-WAN
Un second avis critique – dont le score CVSS est de 7,8 – concerne une faille dans l'interface en ligne de commande de la solution Cisco SD-WAN qui pourrait permettre à un attaquant local authentifié d'élever les privilèges à un niveau root sur un périphérique affecté. Selon Cisco, la vulnérabilité est liée à une mise en application insuffisante des autorisations. Un attaquant pourrait exploiter cette vulnérabilité en s'authentifiant auprès du périphérique ciblé et en exécutant des commandes qui pourraient conduire à des privilèges élevés. « Un exploit réussi pourrait permettre à un attaquant de modifier la configuration du système en tant qu'utilisateur root », a déclaré l’entreprise.
Cette vulnérabilité affecte une série de produits Cisco exécutant une version de la solution Cisco SD-WAN antérieure aux versions 18.3.6, 18.4.1 et 19.1.0, notamment le logiciel vBond Orchestrator, les routeurs vEdge Série 100, les routeurs vEdge série 1000, les routeurs vEdge Série 2000, les routeurs vEdge série 5000, la plate-forme vEdge Cloud Router, le logiciel de gestion de réseau vManage Network Management Software, le logiciel vSmart Controller.
Cisco a livré des mises à jour logicielles gratuites qui corrigent la vulnérabilité décrite dans cet avis. La vulnérabilité de la version Release 18.4.1 de la solution Cisco SD-WAN a été corrigée. Ces deux avis critiques font partie d’une liste comportant une trentaine d'avis de sécurité.
2 autres failles SD-WAN moins critiques
Le logiciel SD-WAN est également affecté par deux autres failles qui, selon les avis de sécurités de Cisco, présentent un risque « élevé ». D’abord, « une vulnérabilité dans l'interface Web vManage de la solution Cisco SD-WAN pourrait permettre à un attaquant distant authentifié d'obtenir des privilèges élevés sur un périphérique vManage affecté », comme l’explique Cisco. La vulnérabilité est liée à une incapacité à autoriser correctement certaines actions de l'utilisateur dans la configuration du périphérique. Un attaquant pourrait exploiter cette vulnérabilité en se connectant à l'interface utilisateur Web de vManage et en lui envoyant des requêtes HTTP. « Un exploit réussi pourrait permettre à des attaquants d'obtenir des privilèges élevés et d'apporter des modifications à la configuration qu'ils ne seraient normalement pas autorisés à effectuer », a déclaré Cisco.
Une autre vulnérabilité de l'interface utilisateur Web de vManage pourrait permettre à un attaquant distant authentifié d'injecter des commandes arbitraires exécutées avec des privilèges root. « Cette faille est due à une validation insuffisante des entrées », a écrit Cisco. Un attaquant pourrait exploiter cette vulnérabilité en s'authentifiant sur le périphérique et en soumettant des données sur-mesure à l'interface utilisateur Web vManage. Ces deux vulnérabilités affectent le logiciel de gestion de réseau Cisco vManage Management Software qui exécute une version de la solution Cisco SD-WAN antérieure à la version Release 18.4.0. Cisco a livré des mises à jour gratuites pour les corriger.
De nombreux patchs à installer
Cisco a révélé d'autres vulnérabilités présentant un risque élevé, notamment :
- Une vulnérabilité dans l'implémentation du protocole Cisco Discovery Protocol (CDP) pour Cisco TelePresence Codec (TC) et Collaboration Endpoint (CE) Software. Celle-ci pourrait permettre à un attaquant adjacent non authentifié d'injecter des commandes shell arbitraires exécutées par le périphérique.
- Une faille dans la fonction interne de traitement de paquets du système d'exploitation Cisco StarOS tournant sur des plates-formes virtuelles. Celle-ci pourrait permettre à un attaquant distant non authentifié d'empêcher un périphérique affecté de traiter le trafic, entraînant un déni de service (DoS).
- Une vulnérabilité dans l'interface de gestion Web du pare-feu VPN Cisco RV110W Wireless-N Firewall, du routeur VPN Multifonction Cisco RV130W Wireless-N et du routeur VPN Cisco RV215W Wireless-N. Celle-ci pourrait permettre à un attaquant distant non authentifié de déclencher un rechargement du périphérique affecté, entraînant un déni de service (DoS).
Cisco a également publié des correctifs logiciels pour ces avis.