Les commutateurs Nexus de Cisco touchés par une faille critique - Actualités RT Sécurité

Les commutateurs Nexus de Cisco touchés par une faille critique

le 03/06/2020, par Michael Cooney, IDG NS (adapté par Jean Elyan), Sécurité, 455 mots

Une faille de sécurité touchant la plate-forme Cisco Nexus NS-OS pourrait être exploitée par des cyberpirates pour lancer des attaques DOS.

Les commutateurs Nexus de Cisco touchés par une faille critique

L'équipementier Cisco a conseillé à ses clients utilisateurs des commutateurs de datacenters Nexus de corriger une vulnérabilité pouvant exposer ses boîtiers à une attaque par déni de service. Une solution de contournement est également disponible. Cisco a attribué à cette vulnérabilité découverte dans le logiciel Nexus NX-OS le score de 8,6 sur 10 dans le système de notation des vulnérabilités CVSS (Common Vulnerabilities Scoring System), ce qui veut dire que le risque encouru est « élevé ».

Selon Cisco, la vulnérabilité est due au fait qu'un appareil affecté décapsule et traite de manière inattendue des paquets IP-in-IP destinés à une adresse IP configurée localement. L'IP-in-IP est un protocole de tunneling qui enveloppe un paquet IP dans un autre paquet IP. « Un exploit réussi pourrait pousser le dispositif affecté à décapsuler inopinément le paquet IP-in-IP et à transmettre le paquet IP interne. L'une des conséquences, c'est que les paquets IP pourraient contourner les listes de contrôle d'accès (ACL) configurées sur l'appareil affecté ou d'autres règles de sécurité définies ailleurs dans le réseau », a déclaré Cisco. « Dans certaines conditions, un exploit pourrait provoquer l'arrêt et le redémarrage multiple du processus de la pile réseau, et déclencher un redémarrage du dispositif affecté et les conditions propices d'un déni de service DOS ».

Support à contacter

La vulnérabilité affecte plusieurs séries de commutateurs Nexus, depuis les switchs Nexus 1000 Virtual Edge pour VMware vSphere jusqu'aux switchs de la série Nexus 9000. Comme l'a précisé Cisco, une solution de contournement existe : elle consiste à configurer des listes de contrôle d'accès à l'infrastructure (iACL) afin que seul le trafic de gestion et de contrôle requis puisse atteindre le périphérique concerné. C'est ce que recommande aussi le Cisco Guide to Securing NX-OS Software Devices. « Les clients peuvent également refuser explicitement tous les paquets IP avec le protocole numéro 4 (celui qui correspond aux paquets IP-in-IP) dans leurs iACL, si aucun trafic IP-in-IP légitime ne transite dans leur réseau. Ils peuvent aussi mettre en place une politique personnalisée de Control Plane Policing (CoPP) pour refuser le trafic IP-in-IP destiné à un appareil affecté. Cependant, la prise en charge de la personnalisation du CoPP varie en fonction des plateformes Nexus et des versions logicielles ».

Cisco conseille aux clients « de contacter le support de l'entreprise pour évaluer la faisabilité d'une solution de contournement et sa mise en oeuvre sur un appareil concerné ». L'équipementier a également indiqué que Cisco Software Checker identifiait les avis de sécurité Cisco Security Advisories affectant des versions spécifiques du logiciel Cisco NX-OS et indiquait la première version dite « First Fixed » qui corrige les vulnérabilités décrites dans chaque avis. Des mises à jour logicielles gratuites corrigeant la vulnérabilité sont disponibles.

Une rançon de 1,14 M$ réglée par l'UCSF pour récupérer ses données

Piégée début juin par le rançongiciel Netwalker, l'Université de San Francisco a accepté de verser 116,4 bitcoins à un groupe de cybercriminels pour recouvrer les données chiffrées relatives à son école de...

le 30/06/2020, par Dominique Filippone, 328 mots

Cryptominage et DDoS, le botnet Lucifer enflamme les PC Windows

Des chercheurs ont découvert un malware, nommé Lucifer, qui attaque des systèmes windows pour les asservir dans un botnet. Ce dernier est polyvalent et pourrait mener à la fois des attaques DDoS ou activer des...

le 29/06/2020, par Jacques Cheminat, 382 mots

Les failles TCP/IP Ripple20, un risque durable pour les dispositifs...

Un patch est disponible pour contrer Ripple20, mais la faille de sécurité affectant une bibliothèque TCP/IP utilisée par des millions de dispositifs IoT sera difficile à corriger. Découverte la semaine...

le 25/06/2020, par Jon Gold / Network World (adaptation Jean Elyan), 805 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...