Si Cisco émet souvent des bulletins de sécurité pour prévenir de bugs critiques et pousser dans la foulée des correctifs, cette fois-ci la situation est un peu plus préoccupante. L'équipementier a en effet alerté d'un exploit en cours sur une faille critique affectant l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Problème : pour l'heure il n'existe aucun correctif à appliquer. Répertoriée en tant que CVE-2023-20198, ce trou de sécurité « donne à un attaquant distant non authentifié la capacité de créer un compte sur un système affecté avec un accès de niveau de privilège 15. L'attaquant peut alors utiliser ce compte pour prendre le contrôle du système affecté », peut-on lire dans l'alerte de Cisco.
La firme précise que cette faille affecte le logiciel Cisco IOS XE si la fonction web UI est activée. La fonction d'interface utilisateur Web est activée via les commandes ip http server ou ip http secure-server. « Pour déterminer si la fonction de serveur HTTP est activée pour un système, connectez-vous au système et utilisez la commande show running-config | include ip http server|secure|active dans l'interface de gestion pour vérifier la présence de la commande ip http server ou de la commande ip http secure-server dans la configuration globale. Si l'une de ces commandes est présente, la fonction de serveur HTTP est activée pour le système », précise Cisco.
Peu de marge de manoeuvre pour les entreprises
Plusieurs indicateurs de compromission doivent être vérifiés, à commencer dans les logs système en particulier si un nom de fichier ne correspond pas à une action d'installation de fichier attendue. Talos, la branche sécurité de Cisco a fourni la commande suivante pour vérifier la présence de l'implant où systemip est l'adresse IP du système à vérifier. Cette commande doit être exécutée à partir d'un poste de travail ayant accès au système en question : curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1". Si la requête renvoie une chaîne hexadécimale, l'implant est présent assure le fournisseur.
IOS XE intègre une interface graphique intégrée pour provisionner le système, en simplifier le déploiement et la gestion, et améliorer aussi l'expérience utilisateur. Elle est fournie par défaut sans nécessité d'activer quoi que ce soit ou d'installer une licence sur un système. L'interface web peut être utilisée pour créer des configurations ainsi que pour surveiller et dépanner le système sans connaissance de l'interface en ligne de commande (CLI). En attente d'un patch, Cisco recommande une solution radicale pour éviter cette compromission en désactivant la fonction HTTP Server sur tous les systèmes concernés exposés à Internet. Dans le cas où la désactivation HTTP n'est pas possible, la société propose de restreindre l'accès à ses services basés sur IOS XE uniquement à des réseaux de confiance. Une solution de contournement qui ne laisse au final que peu de marge de manoeuvre aux entreprises concernées.