Cisco recommande de patcher sans délai 13 failles identifiées dans IOS et IOS XE - Actualités RT Réseaux

Cisco recommande de patcher sans délai 13 failles identifiées dans IOS et IOS XE

le 30/09/2019, par Michael Conney, Network World (adapté par Jean Elyan), Réseaux, 772 mots

Selon Cisco, les vulnérabilités dans IOS/IOS XE pourraient favoriser les conditions d'un déni de service. L'équipementier alerte également sur le réglage de Traceroute.

Cisco recommande de patcher sans délai 13 failles identifiées dans IOS et IOS XE

La semaine dernière, Cisco a alerté ses clients sur 13 vulnérabilités affectant ses systèmes d'exploitation IOS et IOS XE, les invitant à appliquer les correctifs dès que possible. Toutes les vulnérabilités, mentionnées dans l'IOS et l'IOS XE Software Security Advisory Bundle semestriels de l'entreprise, ont un impact « élevé » sur la sécurité (SIR). Une exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant d'obtenir un accès non autorisé, de mener une attaque par injection de commande ou de provoquer un déni de service (DoS) sur un dispositif affecté, a déclaré l'équipementier. Deux des vulnérabilités affectent les systèmes IOS et IOS XE. Deux autres affectent uniquement le système IOS, et 8 des 13 vulnérabilités affectent le système IOS XE. La dernière vulnérabilité concerne l'environnement applicatif IOx. Cisco a confirmé qu'aucune des vulnérabilités n'affectait le logiciel IOS XR ou NX-OS.  L'équipementier a livré des mises à jour logicielles qui corrigent toues les vulérabilités.

Cisco a détaillé les risques et les vulnérabilités les plus critiques :

- Une vulnérabilité dans l'environnement d'application IOx du logiciel IOS pourrait permettre à un attaquant distant authentifié d'accéder sans autorisation au système d'exploitation invité (Guest OS) exécuté sur un périphérique affecté. La vulnérabilité est due à une évaluation incorrecte du contrôle d'accès basé sur les rôles (RBAC) quand un utilisateur sans privilège élevé demande l'accès à un Guest OS normalement réservé à des comptes d'administration. Un attaquant pourrait exploiter cette vulnérabilité en s'authentifiant sur le Guest OS en utilisant les informations d'identification des utilisateurs avec peu de privilèges. Cette vulnérabilité affecte les routeurs 800 Series Industrial Integrated Services Routers et 1000 Series Connected Grid Routers (CGR 1000) exécutant une version vulnérable du logiciel IOS avec Guest OS installé.  Même si Cisco n'a pas qualifié cette vulnérabilité de critique, elle a été affectée d'un score Common Vulnerability Scoring System (CVSS) de 9,9 sur 10. Le fournisseur recommande de désactiver la fonction « invité » jusqu'à l'application du correctif approprié.

- Une vulnérabilité dans le gestionnaire de protocole d'identification Ident du logiciel Cisco IOS et IOS XE pourrait permettre à un attaquant distant de recharger un périphérique affecté. Le problème est lié au fait que le logiciel concerné ne gère pas correctement les structures de mémoire, ce qui conduit à un déréférencement des pointeurs NULL ou 'NULL pointer dereference' », a déclaré le fournisseur. Un attaquant pourrait exploiter cette vulnérabilité en ouvrant une connexion TCP à des ports spécifiques et en envoyant du trafic sur cette connexion. Un exploit réussi pourrait permettre à l'attaquant de recharger le périphérique affecté, provoquant alors un déni de service (DoS). Cette vulnérabilité affecte les périphériques Cisco exécutant une version vulnérable des logiciels IOS ou IOS XE, configurés pour répondre aux demandes de protocole Ident.

- Une vulnérabilité dans la bibliothèque SIP (Session Initiation Protocol) commune de Cisco IOS et IOS XE Software pourrait permettre à un attaquant distant non authentifié de déclencher le rechargement d'un périphérique affecté, entraînant un déni de service (DoS). La vulnérabilité est due à l'insuffisance de contrôles d'intégrité sur une structure de données interne. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une séquence de messages SIP malveillants à un périphérique affecté. Un exploit pourrait permettre à l'attaquant de provoquer une déréférence de pointeur NULL, résultant en un crash de l'IOSD. « Ce qui déclenche un rechargement de l'appareil », comme l'a expliqué Cisco.

- Une vulnérabilité dans la fonction de traitement des paquets entrants du logiciel Cisco IOS pour les commutateurs Catalyst Séries 4000 pourrait permettre à un attaquant de provoquer un déni de service (DoS). La vulnérabilité est due à une mauvaise allocation des ressources lors du traitement des paquets TCP dirigés vers le périphérique sur des commutateurs Catalyst 4000 spécifiques. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des flux TCP spécialement conçus à un périphérique affecté. Un exploit réussi pourrait saturer les ressources tampons de l'appareil affecté, ce qui compromettrait le fonctionnement des protocoles de plan de contrôle et du plan de gestion et mettrait en place les conditions favorables à un déni de service. « Cette vulnérabilité ne peut être déclenchée que par le trafic destiné à un dispositif affecté et ne peut pas être exploitée en utilisant le trafic qui transite par un dispositif affecté », a précisé Cisco.

En plus de ces alertes, Cisco a également émis un avis à destination des utilisateurs pour résoudre des problèmes dans son programme utilitaire de traceroute IOS et IOS XE Layer 2 (L2). Le traceroute identifie le chemin L2 suivi par un paquet depuis le périphérique source jusqu'au périphérique de destination.

Tokalabs automatise la configuration des bancs de test réseau

Le principal défi des bancs de test réseau réside dans le temps nécessaire pour leur provisionnement. La plate-forme de laboratoire définie par logiciel Software Defined Labs de Tokalabs automatise le...

le 22/10/2019, par Linda Musthaler, Network World (adaptation Jean Elyan), 1227 mots

L'IoT s'annonce comme le plus gros consommateur de la 5G

L'an prochain, les caméras de vidéoprotection représenteront 70% de tous les objets connectés exploitant la 5G dans le monde. Les opérateurs télécoms ont tout intérêt à développer des offres spécifiques pour...

le 21/10/2019, par Fabrice Alessi, 212 mots

Le beamforming pour accélérer les communications sans fil

Le beamforming, également appelé filtrage spatial ou formation de faisceau, exploite les ondes électromagnétiques pour améliorer la précision des connexions WiFi et 5G. La technique du beamforming (filtrage...

le 16/10/2019, par Josh Fruhlinger, Network World (adaptation Jean Elyan), 1034 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...