Des correctifs Cisco pour son firewall et son SD-WAN - Actualités RT Réseaux

Des correctifs Cisco pour son firewall et son SD-WAN

le 23/01/2020, par Michael Conney, Network World (adapté par Jean Elyan), Réseaux, 666 mots

Parmi les 27 avis de sécurité émis par Cisco, celui concernant le logiciel de gestion Cisco Firepower est qualifié de critique et les 26 autres moins urgents.

Des correctifs Cisco pour son firewall et son SD-WAN

La vulnérabilité la plus critique parmi les 27 avis de sécurité émis par aujourd'hui Cisco, a été identifiée dans le système de pare-feu Firepower. La faille pourrait permettre à un attaquant de contourner l'authentification et d'exécuter des actions arbitraires avec des privilèges d'administration sur un dispositif particulier.

La vulnérabilité affectant Firepower Management Center (FMC), qui affiche un score de gravité de 9,8 sur 10, est liée à une mauvaise gestion des réponses d'authentification LDAP (Lightweight Directory Access Protocol) émises par un serveur d'authentification externe. Un attaquant pourrait exploiter la vulnérabilité en envoyant des requêtes HTTP élaborées à un appareil affecté et obtenir un accès administrateur à son interface de gestion basée sur le web. Selon Cisco, la vulnérabilité affecte le logiciel FMC s'il est configuré pour authentifier les utilisateurs de l'interface de gestion basée sur le web via un serveur LDAP externe. Les clients peuvent corriger la vulnérabilité soit en effectuant une mise à jour vers une version logicielle ne présentant plus la faille, soit en exécutant le patch correctif.

Voici les options possibles :

- Si vous utilisez une version antérieure à la version Firepower 6.1.0, vous devez migrer vers une version 6.2.3 et appliquer les correctifs disponibles.

- Si vous utilisez la version Firepower 6.1.0, vous pouvez soit appliquer le correctif (Sourcefire_3D_Defense_Center_S3_Hotfix_ES-6.1.0.8-2.sh) ou migrer vers une version 6.2.3 et appliquer le correctif disponible.

- Si vous utilisez les versions 6.2.0 à 6.2.2 de Firepower, vous devez migrer vers une version 6.2.3 et appliquer le correctif disponible.

- Pour les versions 6.2.3 ou 6.3.0, vous devez appliquer les correctifs disponibles, en sachant que des versions de maintenance seront livrées plus tard cette année.

- Si vous utilisez la version 6.4.0 de Firepower, vous devez appliquer les correctifs disponibles ou mettre à niveau vers la version 6.4.0.7.

- Enfin, les utilisateurs de la version 6.5.0 doivent effectuer la mise à jour vers la version 6.5.0.2.

Parmi les autres avis de sécurité, certains concernent le paquet SD-WAN de Cisco. Un premier avis pointe une faiblesse du logiciel IOS XE SD-WAN du fournisseur qui pourrait permettre à un attaquant local non authentifié d'accéder à un dispositif non autorisé et d'en prendre le contrôler total. « La vulnérabilité est due à la présence d'identifiants par défaut dans la configuration par défaut d'un dispositif affecté », a expliqué Cisco. Un attaquant qui a accès à un dispositif vulnérable pourrait se connecter avec des privilèges élevés. La vulnérabilité concerne les dispositifs Cisco exécutant les versions 16.11 et antérieures du logiciel IOS XE SD-WAN Software.

Des correctifs pour Solution vManage

Le second problème lié au SD-WAN se situe dans l'interface de ligne de commande (CLI) du logiciel SD-WAN Solution vManage. Un exploit pourrait permettre à un attaquant d'obtenir une élévation de privilèges au niveau root. La vulnérabilité est liée à une validation insuffisante des entrées. Un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécifiquement conçu au système vulnérable. Selon Cisco, la vulnérabilité affecte la version 18.4.1 du logiciel SD-WAN Solution vManage. L'équipementier a indiqué qu'il avait livré des mises à jour logicielles pour ces deux vulnérabilités SD-WAN.

D'autres vulnérabilités avec un score de gravité élevé ont également été identifiées dans l'implementation de la fonctionnalité Border Gateway Protocol (BGP) Ethernet VPN (EVPN) du logiciel IOS XR. Celles-ci pourraient permettre à un attaquant distant non authentifié de favoriser les conditions d'un déni de service (DoS). Les autres vulnérabilités sont liées au traitement incorrect des messages BGP mis à jour avec des attributs EVPN élaborés. Un attaquant pourrait exploiter ces vulnérabilités en envoyant des messages BGP EVPN mis à jour contenant des attributs incorrects pouvant être traités par un système vulnérable. « Un exploit réussi pourrait permettre à un attaquant de faire redémarrer le processus BGP de manière inattendue, ce qui favoriserait des conditions de déni de service DoS », a expliqué Cisco. L'équipementier a déjà livré des mises à jour gratuites corrigeant ces vulnérabilités.

Rapport Cisco : L'IoT décolle, alors que la 5G et WiFi 6 sont dans...

Quel impact global auront les communications M2M, la 5G, le WiFi 6 et le haut débit sur les connexions réseau d'ici 2023 ? Selon les résultats du rapport annuel sur l'Internet de Cisco (2018/2023), la place de...

le 21/02/2020, par Michael Conney, Network World (adapté par Jean Elyan), 995 mots

La connectivité cloud des sites distants tire le marché SD-WAN

Grâce aux relations établies entre des fournisseurs comme Cisco, VMware, Juniper et Arista et des fournisseurs de services comme AWS, Microsoft Azure, Google Anthos et IBM RedHat, la croissance du SD-WAN se...

le 20/02/2020, par Michael Conney, Network World (adapté par Jean Elyan), 818 mots

Cap sur le WiFi 6E et les 6 GHz

Le WiFi 6E s'appuie sur la norme WiFi 6 (802.11ax) existante, enrichie de nouveaux canaux dans la bande radio des 6 GHz. Broadcom a annoncé ce qu'il appelle la première puce WiFi 6E pour appareils mobiles,...

le 17/02/2020, par Mark Hachman, PC World (adaptation Jean Elyan), 505 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...