Failles de sécurité critiques Cisco UCS à corriger sans attendre - Actualités RT Infrastructure

Failles de sécurité critiques Cisco UCS à corriger sans attendre

le 16/04/2020, par Michael Cooney, IDG NS (adapté par Jean Elyan), Infrastructure, 660 mots

L'équipementier de San José a publié 17 avis de sécurité en rapport avec des vulnérabilités d'authentification affectant ses serveurs Unified Computing System (Cisco UCS).

Failles de sécurité critiques Cisco UCS à corriger sans attendre

Cisco a publié un ensemble de 17 avis de sécurité critiques concernant des vulnérabilités d'authentification affectant ses serveurs UCS. Ces vulnérabilités pourraient permettre à des attaquants de s'introduire dans les systèmes ou de provoquer des dénis de service. « Les problèmes concernent plus particulièrement les systèmes UCS Director et Express de Cisco, qui permettent aux clients de construire des systèmes de cloud privé et de prendre en charge des processus d'approvisionnement et d'orchestration automatisés afin d'optimiser et de simplifier la fourniture des ressources de datacenters », comme l'a déclaré l'entreprise. La plupart des problèmes résultent d'une faiblesse de l'API REST, utilisée par diverses applications Web, dans les produits Cisco concernés. La gravité de ces vulnérabilités est de 9,8 sur 10 dans le système CVSS (Common Vulnerability Scoring System).

Voici quelques-uns des problèmes potentiels causés par ces vulnérabilités :

- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant non authentifié de contourner l'authentification et d'exécuter des actions arbitraires avec des privilèges d'administrateur sur un appareil affecté. La vulnérabilité est due à une validation insuffisante du contrôle d'accès. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête élaborée à l'API REST.

- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant authentifié d'exécuter du code arbitraire avec des privilèges root sur le système d'exploitation sous-jacent. La vulnérabilité est due à une validation d'entrée incorrecte. « Un attaquant pourrait exploiter cette faille en créant un fichier malveillant et en l'envoyant à l'API REST », a déclaré Cisco.

- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant non authentifié de contourner l'authentification et d'exécuter des appels d'API sur un appareil affecté. La vulnérabilité est due à une validation insuffisante du contrôle d'accès. « Une exploitation réussie pourrait permettre à l'attaquant d'interagir avec l'API REST et de provoquer un déni de service (DoS) sur le dispositif concerné », a déclaré Cisco.

L'équipementier rappelle qu'il a livré des mises à jour logicielles gratuites corrigeant ces vulnérabilités et qu'il a corrigé les vulnérabilités dans UCS Director version 6.7.4.0 et UCS Director Express for Big Data version 3.7.4.0. « Steven Seeley (mr_me) de Source Incite a collaboré avec Trend Micro Zero Day Initiative pour divulguer les failles, lesquelles n'ont pas été exploitées », a déclaré Cisco.

D'autres correctifs pour les IP Phone

En dehors de ces produits UCS, Cisco a également émis cette semaine deux autres avis de sécurité critiques pour des failles affectant ses IP Phones. « En premier lieu, une vulnérabilité dans le serveur web pour IP Phons du fournisseur pourrait permettre à un attaquant distant non authentifié d'exécuter du code avec des privilèges root ou pourrait redémarrer un téléphone IP affecté, ce qui favoriserait les conditions d'un déni de service DoS », a déclaré la firme. Cette vulnérabilité affecte les produits Cisco suivants s'ils ont un accès web activé et s'ils exécutent une version de firmware antérieure à la première version corrigée pour ce dispositif :

- IP Phone 7811, 7821, 7841 et Desktop Phone 7861

- IP Phone 8811, 8841, 8845, 8851, 8861 et Desktop Phone 8865$

- Unified IP Conference Phone 8831

- Wireless IP Phone 8821 et 8821-EX

Un autre problème à propos de l'IP Phone concernait l'application web pour les IP Phone de Cisco. Celle-ci pouvait permettre à un attaquant d'envoyer une requête HTTP au serveur web d'un appareil ciblé. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter à distance du code avec des privilèges root ou de redémarrer un IP Phone affecté, ce qui favoriserait les conditions d'un déni de service DoS. « Cette vulnérabilité est liée au fait que le logiciel affecté ne vérifie pas les limites des données d'entrée », a déclaré Cisco. La société a publié des mises à jour logicielles gratuites pour corriger ces problèmes.

Nautilus Data lève 100 millions de dollars pour construire des...

Nautilus Data Technologies apporte l'expérience du refroidissement des centrales nucléaires à des datacenters flottants. Si l'eau est dangereuse pour l'électronique, elle semble avoir plus d'affinité avec les...

le 09/06/2020, par Andy Patrizio, IDG NS (adapté par Jean Elyan), 759 mots

Failles de sécurité critiques Cisco UCS à corriger sans attendre

L'équipementier de San José a publié 17 avis de sécurité en rapport avec des vulnérabilités d'authentification affectant ses serveurs Unified Computing System (Cisco UCS). Cisco a publié un ensemble de 17 avis...

le 16/04/2020, par Michael Cooney, IDG NS (adapté par Jean Elyan), 660 mots

Power over Ethernet désormais câblé pour l'IoT

La technologie Power over Ethernet est devenue un élément clef des architectures de réseaux locaux sans fil (WLAN), des bâtiments intelligents et des réseaux d'entreprise. De nombreuses entreprises s'appuient...

le 08/04/2020, par Michael Cooney, IDG NS (adapté par Jean Elyan), 1174 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...