Cisco colmate de sérieuses failles de sécurité
Cisco vient d'éditer des mises à jour logicielles de sécurité pour contrer les attaques de dénis de service et d'exécution de commandes illégales dans plusieurs de ses produits. Parmi elles, une vulnérabilité déjà connue dans Apache Struts, le Framework de développement d'applications Web fondées sur Java.
Les nouvelles mises à jour effectuées par Cisco concernent la version de Struts mise en oeuvre dans Cisco Business Edition 3000, Cisco Identity Services Engine, Cisco Media Experience Engine (MXE) 3500 Series and Cisco Unified SIP Proxy. Le constructeur a également sorti de nouvelles versions de son logiciel d'exploitation Cisco IOS XR pour combler un problème de fragmentation de paquets qui peut être utilisé pour déclencher un déni de service sur plusieurs de ses cartes CRS Route Processor. Les cartes concernées et les patches logiciels correspondants sont listés sur une page du site de Cisco.
Il a fait de même pour Cisco Identity Services Engine (ISE), une plate-forme de gestion des règles de sécurité sur les réseaux fixes, mobiles et VPN. Ces mises à jour corrigent une faille de sécurité qui pourrait être exploitée par des pirates distants et authentifiés pour lancer des commandes dangereuses sur le système d'exploitation sous-jacent. Elles préviennent également la possibilité, pour des pirates, de court-circuiter l'authentification et de télécharger la configuration des produits ou d'autres informations critiques dont des données d'administration.
Cette vulnérabilité, connue sous le nom de CVE-2013-2251, se situe dans le composant Struts' DefaultActionMapper. Elle a été corrigée par Apache dans la version Struts 2.3.15.1, disponible depuis juillet.
Cas à part : le Cisco Business Edition 3000
Aucune authentification n'est requise pour lancer des attaques sur le Cisco ISE et le Cisco Unified SIP Proxy. Il n'en va pas de même sur le Cisco Business Edition 3000, qui nécessite des identifiants valides. Mais le pirate peut tromper un utilisateur parfaitement identifié avec une URL malveillante. Si les commandes illégales sont impossibles sur le Cisco MXE 3500, le pirate peut également rediriger l'utilisateur vers un site Web malveillant.
Chez Trend Micro, on affirme qu'en août des hackers chinois ont attaqué des serveurs fonctionnant sur des applications Apache Struts. Ils utilisaient un robot qui exploite les failles des commandes à distance, dont CVE-2013-2251. Depuis les correctifs appliqués à la version d'Apache Struts 2.3.15.1, les développeurs ont renforcé la sécurité avec la version 2.3.15.2, apparue en septembre et la version 2.3.15.3 arrivée en octobre. Si les développeurs d'Apache Struts recommandent fortement de passer à celle-ci, ils conseillent cependant d'attendre d'avoir plus de détails sur la vulnérabilité CVE-2013-4310 et que le patch soit largement adopté.
Côté Cisco, il n'est pas précisé quand le constructeur adoptera le patch CVE-2013-4310 et même s'il l'introduira dans ses équipements, car, selon les cas il pourrait avoir à réécrire une partie de son code.
