Cisco a publié un ensemble de 17 avis de sécurité critiques concernant des vulnérabilités d'authentification affectant ses serveurs UCS. Ces vulnérabilités pourraient permettre à des attaquants de s’introduire dans les systèmes ou de provoquer des dénis de service. « Les problèmes concernent plus particulièrement les systèmes UCS Director et Express de Cisco, qui permettent aux clients de construire des systèmes de cloud privé et de prendre en charge des processus d'approvisionnement et d'orchestration automatisés afin d'optimiser et de simplifier la fourniture des ressources de datacenters », comme l’a déclaré l'entreprise.
La plupart des problèmes résultent d’une faiblesse de l'API REST, utilisée par diverses applications Web, dans les produits Cisco concernés. La gravité de ces vulnérabilités est de 9,8 sur 10 dans le système CVSS (Common Vulnerability Scoring System).
Voici quelques-uns des problèmes potentiels causés par ces vulnérabilités :
- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant non authentifié de contourner l'authentification et d'exécuter des actions arbitraires avec des privilèges d’administrateur sur un appareil affecté. La vulnérabilité est due à une validation insuffisante du contrôle d'accès. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête élaborée à l'API REST.
- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant authentifié d'exécuter du code arbitraire avec des privilèges root sur le système d'exploitation sous-jacent. La vulnérabilité est due à une validation d'entrée incorrecte. « Un attaquant pourrait exploiter cette faille en créant un fichier malveillant et en l'envoyant à l'API REST », a déclaré Cisco.
- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant non authentifié de contourner l'authentification et d'exécuter des appels d’API sur un appareil affecté. La vulnérabilité est due à une validation insuffisante du contrôle d'accès. « Une exploitation réussie pourrait permettre à l'attaquant d'interagir avec l'API REST et de provoquer un déni de service (DoS) sur le dispositif concerné », a déclaré Cisco.
L’équipementier rappelle qu’il a livré des mises à jour logicielles gratuites corrigeant ces vulnérabilités et qu’il a corrigé les vulnérabilités dans UCS Director version 6.7.4.0 et UCS Director Express for Big Data version 3.7.4.0. « Steven Seeley (mr_me) de Source Incite a collaboré avec Trend Micro Zero Day Initiative pour divulguer les failles, lesquelles n'ont pas été exploitées », a déclaré Cisco.
D'autres correctifs pour les IP Phone
En dehors de ces produits UCS, Cisco a également émis cette semaine deux autres avis de sécurité critiques pour des failles affectant ses IP Phones. « En premier lieu, une vulnérabilité dans le serveur web pour IP Phons du fournisseur pourrait permettre à un attaquant distant non authentifié d'exécuter du code avec des privilèges root ou pourrait redémarrer un téléphone IP affecté, ce qui favoriserait les conditions d’un déni de service DoS », a déclaré la firme. Cette vulnérabilité affecte les produits Cisco suivants s'ils ont un accès web activé et s'ils exécutent une version de firmware antérieure à la première version corrigée pour ce dispositif :
- IP Phone 7811, 7821, 7841 et Desktop Phone 7861
- IP Phone 8811, 8841, 8845, 8851, 8861 et Desktop Phone 8865
- Unified IP Conference Phone 8831
- Wireless IP Phone 8821 et 8821-EX
Un autre problème à propos de l’IP Phone concernait l'application web pour les IP Phone de Cisco. Celle-ci pouvait permettre à un attaquant d'envoyer une requête HTTP au serveur web d'un appareil ciblé. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter à distance du code avec des privilèges root ou de redémarrer un IP Phone affecté, ce qui favoriserait les conditions d’un déni de service DoS. « Cette vulnérabilité est liée au fait que le logiciel affecté ne vérifie pas les limites des données d'entrée », a déclaré Cisco. La société a publié des mises à jour logicielles gratuites pour corriger ces problèmes.