Cisco émet trois avis de sécurité critiques pour DNA Center - Actualités RT Sécurité

Cisco émet trois avis de sécurité critiques pour DNA Center

le 01/07/2019, par Michael Conney, Network World (adapté par Jean Elyan), Sécurité, 725 mots

Trois problèmes de sécurité sérieux signalés par Cisco concernent Data Center Network Manager (DCNM). L'équipemntier a livré des mises à jour logicielles gratuites corrigeant les vulnérabilités décrites dans ces avis.

Cisco émet trois avis de sécurité critiques pour DNA Center

L'équipementier Cisco a émis trois avis de sécurité « critiques » pour les utilisateurs de DNA Center - deux d'entre eux affichant un score de 9,8 sur 10 dans le système de notation Common Vulnerability Scoring System (CVSS). Les deux problèmes les plus sérieux concernent Data Center Network Manager (DCNM). DNA Center permet aux équipes IT de contrôler l'accès par le biais de politiques s'appuyant sur la solution Software-Defined Access (SD-Access) de Cisco, d'assurer un provisionnement automatique via DNA Automation, de virtualiser des périphériques via Network Functions Virtualization (NFV), et de réduire les risques de sécurité par segmentation et en s'appuyant sur la solution Encrypted Traffic Analysis (ETA) de Cisco.

Selon l'un des avis du fournisseur, une vulnérabilité dans l'interface de gestion Web de Data Center Network Manager (DCNM) pourrait permettre à un attaquant de récupérer un cookie de session valide sans connaître le mot de passe d'administration d'un utilisateur en envoyant une requête HTTP spécialement conçue à un servlet Web spécifique disponible sur les dispositifs affectés. La vulnérabilité est liée à une mauvaise gestion des sessions sur les logiciels DCNM concernés. La vulnérabilité affecte les versions du logiciel DCNM antérieures à la version 11.1(1). Cisco a déclaré qu'il avait supprimé complètement le servlet web affecté dans la version 11.1(1) du logiciel DCNM.

Exploitation de paramètrages incorrectes

Cisco a émis un autre avis critique pour une vulnérabilité affectant Data Center Network Manager (DCNM) laquelle pourrait permettre à un attaquant de créer des fichiers arbitraires sur le système de fichiers DCNM sous-jacent en envoyant des données spécialement conçues à un servlet web spécifique disponible sur les périphériques affectés. Selon Cisco, la vulnérabilité est liée à des paramètres d'autorisation incorrects dans le logiciel DCNM affecté. Un exploit réussi pourrait permettre à un attaquant d'écrire des fichiers arbitraires sur le système de fichiers et d'exécuter du code avec les privilèges root sur le périphérique affecté. Cisco a précisé que pour exploiter cette vulnérabilité dans la version 11.0(1) du logiciel DCNM et les versions antérieures, un attaquant doit être authentifié à l'interface de gestion Web de DCNM.

La troisième vulnérabilité - qui affiche un score de 9,3 dans le système CVSS - pourrait permettre à un attaquant adjacent non authentifié de contourner l'authentification et d'accéder aux services internes critiques de DNA Center. Un attaquant pourrait exploiter cette vulnérabilité en connectant un périphérique réseau non autorisé au sous-réseau désigné pour les services en cluster. « Un exploit réussi pourrait permettre à un attaquant d'accéder à des services internes qui ne sont pas durcis pour un accès externe », a expliqué Cisco. « La vulnérabilité est liée à l'insuffisance des restrictions d'accès aux ports nécessaires à l'exploitation du système », a encore déclaré l'entreprise.  Pour cette troisième vulnérabilité, une solution de contournement est disponible pour les clients qui ne peuvent pas mettre à niveau vers une version donnée. Pour coordonner la mise en oeuvre de la solution de contournement, il faut contacter le Cisco Technical Assistance Center (TAC).

Evolution pour les mises à jour

Cisco a livré des mises à jour logicielles gratuites corrigeant les vulnérabilités décrites dans ces avis. Les avis critiques de cette semaine font suite à un autre avis critique émis la semaine dernière pour des vulnérabilités affectant également DNA Center. Cette précédente vulnérabilité - affichant un score de 9,3 dans le système CVSS - pourrait permettre à un attaquant non authentifié de connecter un périphérique réseau non autorisé au sous-réseau destiné aux services en cluster. « Un exploit réussi pourrait permettre à un attaquant d'accéder à des services internes qui ne sont pas protégés pour un accès externe », avait déclaré Cisco. « La vulnérabilité est liée à une restriction d'accès insuffisante sur les ports nécessaires aux opérations système », avait déclaré Cisco, en précisant que le problème avait été identifié lors de tests de sécurité interne. Cette vulnérabilité qui affecte les versions antérieures à la version 1.3 du logiciel DNA Center, a été corrigée dans la version 1.3 et les versions ultérieures.

Cisco a indiqué que les mises à jour du système étaient disponibles à partir du cloud de Cisco et qu'elles n'étaient pas téléchargeables à partir du Software Center sur Cisco.com. Pour mettre à niveau vers une version donnée du logiciel DNA Center, les administrateurs peuvent utiliser la fonction « Mises à jour Système » du logiciel.

Ring adopte l'A2F et suspend les trackers tiers de son app mobile

Pour rendre sa sonnette connectée plus sûre et plus discrète en matière de collecte de données personnelles, Amazon impose l'authentification à deux facteurs et bloque les trackers de tierces parties de son...

le 19/02/2020, par Michael Simon, IDG NS (adapté par Jean Elyan), 373 mots

L'Enisa alerte sur les failles de sécurité de la 5G

Selon l'Enisa, l'Agence européenne chargée de la sécurité des réseaux et de l'information, les failles de sécurité présentes dans les réseaux 2G, 3G et 4G pourraient affecter aussi les réseaux 5G. « Les...

le 21/01/2020, par Peter Sayer, CIO (adapté par Jean Elyan), 691 mots

Les autorités accentuent leur pression pour déverrouiller les iPhone

Selon les défenseurs de la vie privée, « en refusant de mettre une porte dérobée permanente dans sa plate-forme iOS, Apple protège des millions d'utilisateurs contre les menaces futures des gouvernements et...

le 15/01/2020, par Lucas Mearian, Computerworld (adaptation Jean Elyan), 660 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...