Cisco émet un avis de sécurité critique pour le conteneur REST API de IOS XE - Actualités RT Sécurité

Cisco émet un avis de sécurité critique pour le conteneur REST API de IOS XE

le 23/10/2019, par Michael Cooney, IDG NS (adapté par Jean Elyan), Sécurité, 497 mots

La vulnérabilité dans le conteneur de service virtuel Cisco REST API de IOS XE - elle porte la référence CVE-2019-12643 - pourrait permettre à des attaquants de récupérer le token-id d'un utilisateur authentifié.

Cisco émet un avis de sécurité critique pour le conteneur REST API de IOS XE

Cette semaine, Cisco a livré une mise à jour pour corriger une vulnérabilité dans le conteneur de service virtuel REST API de IOS XE. Cette vulnérabilité est affectée du score critique de 10 sur 10 dans le système de notation Common Vulnerability Scoring System (CVSS). En exploitant cette vulnérabilité, un attaquant pourrait soumettre des requêtes HTTP malveillantes à l'appareil ciblé. « Et, en cas de succès, il pourrait récupérer le token-id d'un utilisateur authentifié et l'utiliser pour contourner l'authentification et exécuter des actions avec privilèges via l'interface du conteneur de service virtuel REST API sur le périphérique Cisco IOS XE concerné », a déclaré Cisco.

Selon l'entreprise, l'application REST API fonctionne dans un conteneur de service virtuel. Un conteneur de service virtuel est un environnement virtualisé sur un périphérique livré sous forme d'application virtuelle ouverte (OVA). Le package OVA doit être installé et activé sur un périphérique via l'interface en mode ligne de commande du gestionnaire de virtualisation de périphériques (VMAN). Cisco REST API fournit un ensemble d'API RESTful comme méthode alternative à l'interface en ligne de commande IOS XE pour provisionner des fonctions sélectionnées sur les équipements du fournisseur californien.

Selon Cisco, la vulnérabilité peut être exploitée dans les conditions suivantes :

- L'appareil exécute une version vulnérable du logiciel IOS XE.

- L'appareil a installé et activé une version du conteneur de service virtuel REST API affectée par la vulnérabilité.

- Un utilisateur autorisé avec des identifiants d'administrateur (niveau 15) est authentifié à l'interface REST API.

L'interface REST API n'est pas activée par défaut. Pour être vulnérable, le conteneur de service virtuel doit être installé et activé. Supprimer le package OVA de la mémoire de stockage de l'appareil supprime le vecteur d'attaque. « Si le conteneur de service virtuel REST API n'est pas activé, cette opération n'aura pas d'impact sur les conditions normales de fonctionnement de l'appareil », a précisé Cisco.

Les routeurs et firewall Cisco touchés

Cette vulnérabilité affecte les périphériques Cisco configurés pour utiliser une version vulnérable du conteneur de service virtuel REST API. Cette vulnérabilité a affecté les produits suivants : les routeurs à services intégrés Cisco 4000 Series Integrated Services Routers, les routeurs de services d'agrégation ASR 1000 Series Aggregation Services Routers, les routeurs Cloud Services Router 1000V Series, les routeurs virtuels à services intégrés Integrated Services Virtual Router.

L'équipementier a livré une version fixe du conteneur de service virtuel REST API et une version durcie de IOS XE qui empêche l'installation ou l'activation d'un conteneur vulnérable sur un périphérique. Si le dispositif était déjà configuré avec un conteneur vulnérable actif, la mise à niveau logicielle de l'IOS XE désactivera le conteneur, rendant le dispositif non vulnérable. Dans ce cas, « pour restaurer la fonctionnalité REST API, les clients doivent mettre à niveau le conteneur de service virtuel Cisco REST API vers une version logicielle fixe », a déclaré la société.

La plupart des transactions IoT ne sont pas sécurisées selon Zscaler

Les données recueillies par le fournisseur de sécurité Zscaler montrent que, non seulement la plupart des transactions Internet ne sont pas sécurisées, mais qu'elles sont également non autorisées, car l'IoT...

le 06/03/2020, par Andy Patrizio, IDG NS (adapté par Jean Elyan), 683 mots

VMware renforce la sécurité du cloud et des datacenters

Les mises à jour des logiciels de sécurité de VMware reposent sur une technologie acquise avec le rachat de Carbon Black, Avi Networks, Cloud Coreo et CloudHealth. Afin de fournir une protection unifiée aux...

le 02/03/2020, par Michael Cooney, IDG NS (adapté par Jean Elyan), 1297 mots

Cisco déploie son offre SaaS SecureX

L'équipementier Cisco lance SecureX, un service SaaS de contrôle des environnements de sécurité complexes. La plateforme de sécurité basée sur le cloud SecureX dévoilée par l'équipementier devrait grandement...

le 27/02/2020, par Michael Cooney, IDG NS (adapté par Jean Elyan), 1098 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...