Cisco émet un avis de sécurité critique pour le conteneur REST API de IOS XE - Actualités RT Sécurité

Cisco émet un avis de sécurité critique pour le conteneur REST API de IOS XE

le 23/10/2019, par Michael Cooney, IDG NS (adapté par Jean Elyan), Sécurité, 497 mots

La vulnérabilité dans le conteneur de service virtuel Cisco REST API de IOS XE - elle porte la référence CVE-2019-12643 - pourrait permettre à des attaquants de récupérer le token-id d'un utilisateur authentifié.

Cisco émet un avis de sécurité critique pour le conteneur REST API de IOS XE

Cette semaine, Cisco a livré une mise à jour pour corriger une vulnérabilité dans le conteneur de service virtuel REST API de IOS XE. Cette vulnérabilité est affectée du score critique de 10 sur 10 dans le système de notation Common Vulnerability Scoring System (CVSS). En exploitant cette vulnérabilité, un attaquant pourrait soumettre des requêtes HTTP malveillantes à l'appareil ciblé. « Et, en cas de succès, il pourrait récupérer le token-id d'un utilisateur authentifié et l'utiliser pour contourner l'authentification et exécuter des actions avec privilèges via l'interface du conteneur de service virtuel REST API sur le périphérique Cisco IOS XE concerné », a déclaré Cisco.

Selon l'entreprise, l'application REST API fonctionne dans un conteneur de service virtuel. Un conteneur de service virtuel est un environnement virtualisé sur un périphérique livré sous forme d'application virtuelle ouverte (OVA). Le package OVA doit être installé et activé sur un périphérique via l'interface en mode ligne de commande du gestionnaire de virtualisation de périphériques (VMAN). Cisco REST API fournit un ensemble d'API RESTful comme méthode alternative à l'interface en ligne de commande IOS XE pour provisionner des fonctions sélectionnées sur les équipements du fournisseur californien.

Selon Cisco, la vulnérabilité peut être exploitée dans les conditions suivantes :

- L'appareil exécute une version vulnérable du logiciel IOS XE.

- L'appareil a installé et activé une version du conteneur de service virtuel REST API affectée par la vulnérabilité.

- Un utilisateur autorisé avec des identifiants d'administrateur (niveau 15) est authentifié à l'interface REST API.

L'interface REST API n'est pas activée par défaut. Pour être vulnérable, le conteneur de service virtuel doit être installé et activé. Supprimer le package OVA de la mémoire de stockage de l'appareil supprime le vecteur d'attaque. « Si le conteneur de service virtuel REST API n'est pas activé, cette opération n'aura pas d'impact sur les conditions normales de fonctionnement de l'appareil », a précisé Cisco.

Les routeurs et firewall Cisco touchés

Cette vulnérabilité affecte les périphériques Cisco configurés pour utiliser une version vulnérable du conteneur de service virtuel REST API. Cette vulnérabilité a affecté les produits suivants : les routeurs à services intégrés Cisco 4000 Series Integrated Services Routers, les routeurs de services d'agrégation ASR 1000 Series Aggregation Services Routers, les routeurs Cloud Services Router 1000V Series, les routeurs virtuels à services intégrés Integrated Services Virtual Router.

L'équipementier a livré une version fixe du conteneur de service virtuel REST API et une version durcie de IOS XE qui empêche l'installation ou l'activation d'un conteneur vulnérable sur un périphérique. Si le dispositif était déjà configuré avec un conteneur vulnérable actif, la mise à niveau logicielle de l'IOS XE désactivera le conteneur, rendant le dispositif non vulnérable. Dans ce cas, « pour restaurer la fonctionnalité REST API, les clients doivent mettre à niveau le conteneur de service virtuel Cisco REST API vers une version logicielle fixe », a déclaré la société.

Les autorités accentuent leur pression pour déverrouiller les iPhone

Selon les défenseurs de la vie privée, « en refusant de mettre une porte dérobée permanente dans sa plate-forme iOS, Apple protège des millions d'utilisateurs contre les menaces futures des gouvernements et...

le 15/01/2020, par Lucas Mearian, Computerworld (adaptation Jean Elyan), 660 mots

L'avenir du VPN passe par WireGuard

Le VPN WireGuard offre de meilleures performances et une approche plus simple et plus efficace du chiffrement. Mais comment fonctionne ce VPN ? Et, est-il prêt pour l'entreprise ? WireGuard est un réseau privé...

le 02/01/2020, par Lucian Constantin, CSO (adapté par Jean Elyan), 1956 mots

Google sécurise l'envoi de SMS sur mobiles Android

Le déploiement des fonctions de vérification de SMS et de protection anti-spam est en cours sur les mobiles Android. Mais le cryptage de bout en bout fait toujours défaut. Google a démarré hier le déploiement...

le 13/12/2019, par Michael Simon, IDG NS (adapté par Jean Elyan), 417 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...