Salve de mises à jour sécurité pour les équipements Cisco - Actualités RT Réseaux

Salve de mises à jour sécurité pour les équipements Cisco

le 20/06/2019, par Michael Cooney, Network World (adaptation Jean Elyan), Réseaux, 874 mots

L'équipementier Cisco a émis une trentaine d'avis de sécurité, dont deux avis critiques prioritaires pour ses logiciels SD-WAN et DNA Center.

Salve de mises à jour sécurité pour les équipements Cisco

Cisco a publié deux avis de sécurité critiques pour ses logiciels SD-WAN et DNA Center, dont l'un affichant un score Common Vulnerability Scoring System (CVSS) de 9,3 sur 10. Cette vulnérabilité, qui affecte le logiciel Digital Network Architecture (DNA) Center de Cisco, pourrait permettre à un attaquant non authentifié de connecter un périphérique réseau non autorisé au sous-réseau désigné pour les services en cluster. Selon Cisco, « une attaque réussie pourrait permettre à un attaquant d'accéder à des services internes qui ne sont pas protégés pour un accès externe ». « La vulnérabilité est liée à une restriction d'accès insuffisante sur les ports nécessaires aux opérations système », a déclaré Cisco, en précisant que le problème avait été identifié lors de tests de sécurité interne.

Cisco DNA Center permet aux équipes IT de contrôler l'accès par le biais de politiques s'appuyant sur la solution Software-Defined Access (SD-Access) de Cisco, d'assurer un provisionnement automatique via Cisco DNA Automation, de virtualiser des périphériques via Cisco Network Functions Virtualization (NFV), et de réduire les risques de sécurité par segmentation et en s'appuyant sur la solution Encrypted Traffic Analysis (ETA) de Cisco. Cette vulnérabilité affecte les versions antérieures à la version 1.3 de Cisco DNA Center Software, mais elle a été corrigée dans la version 1.3 et suivantes. « Les mises à jour système sont disponibles depuis le cloud de Cisco, mais pas à partir du Software Center de Cisco.com », a aussi indiqué l'équipementier. Pour mettre à niveau vers une version donnée de Cisco DNA Center Software, les administrateurs peuvent utiliser la fonction « System Updates » du logiciel.

Vulnérabilité SD-WAN

Un second avis critique - dont le score CVSS est de 7,8 - concerne une faille dans l'interface en ligne de commande de la solution Cisco SD-WAN qui pourrait permettre à un attaquant local authentifié d'élever les privilèges à un niveau root sur un périphérique affecté. Selon Cisco, la vulnérabilité est liée à une mise en application insuffisante des autorisations. Un attaquant pourrait exploiter cette vulnérabilité en s'authentifiant auprès du périphérique ciblé et en exécutant des commandes qui pourraient conduire à des privilèges élevés. « Un exploit réussi pourrait permettre à un attaquant de modifier la configuration du système en tant qu'utilisateur root », a déclaré l'entreprise.

Cette vulnérabilité affecte une série de produits Cisco exécutant une version de la solution Cisco SD-WAN antérieure aux versions 18.3.6, 18.4.1 et 19.1.0, notamment le logiciel vBond Orchestrator, les routeurs vEdge Série 100, les routeurs vEdge série 1000, les routeurs vEdge Série 2000, les routeurs vEdge série 5000, la plate-forme vEdge Cloud Router, le logiciel de gestion de réseau vManage Network Management Software, le logiciel vSmart Controller.

Cisco a livré des mises à jour logicielles gratuites qui corrigent la vulnérabilité décrite dans cet avis. La vulnérabilité de la version Release 18.4.1 de la solution Cisco SD-WAN a été corrigée. Ces deux avis critiques font partie d'une liste comportant une trentaine d'avis de sécurité.

2 autres failles SD-WAN moins critiques

Le logiciel SD-WAN est également affecté par deux autres failles qui, selon les avis de sécurités de Cisco, présentent un risque « élevé ». D'abord, « une vulnérabilité dans l'interface Web vManage de la solution Cisco SD-WAN pourrait permettre à un attaquant distant authentifié d'obtenir des privilèges élevés sur un périphérique vManage affecté », comme l'explique Cisco. La vulnérabilité est liée à une incapacité à autoriser correctement certaines actions de l'utilisateur dans la configuration du périphérique. Un attaquant pourrait exploiter cette vulnérabilité en se connectant à l'interface utilisateur Web de vManage et en lui envoyant des requêtes HTTP. « Un exploit réussi pourrait permettre à des attaquants d'obtenir des privilèges élevés et d'apporter des modifications à la configuration qu'ils ne seraient normalement pas autorisés à effectuer », a déclaré Cisco.

Une autre vulnérabilité de l'interface utilisateur Web de vManage pourrait permettre à un attaquant distant authentifié d'injecter des commandes arbitraires exécutées avec des privilèges root. « Cette faille est due à une validation insuffisante des entrées », a écrit Cisco. Un attaquant pourrait exploiter cette vulnérabilité en s'authentifiant sur le périphérique et en soumettant des données sur-mesure à l'interface utilisateur Web vManage. Ces deux vulnérabilités affectent le logiciel de gestion de réseau Cisco vManage Management Software qui exécute une version de la solution Cisco SD-WAN antérieure à la version Release 18.4.0. Cisco a livré des mises à jour gratuites pour les corriger.

De nombreux patchs à installer

Cisco a révélé d'autres vulnérabilités présentant un risque élevé, notamment :

Une vulnérabilité dans l'implémentation du protocole Cisco Discovery Protocol (CDP) pour Cisco TelePresence Codec (TC) et Collaboration Endpoint (CE) Software. Celle-ci pourrait permettre à un attaquant adjacent non authentifié d'injecter des commandes shell arbitraires exécutées par le périphérique.

Une faille dans la fonction interne de traitement de paquets du système d'exploitation Cisco StarOS tournant sur des plates-formes virtuelles. Celle-ci pourrait permettre à un attaquant distant non authentifié d'empêcher un périphérique affecté de traiter le trafic, entraînant un déni de service (DoS).

Une vulnérabilité dans l'interface de gestion Web du pare-feu VPN Cisco RV110W Wireless-N Firewall, du routeur VPN Multifonction Cisco RV130W Wireless-N et du routeur VPN Cisco RV215W Wireless-N. Celle-ci pourrait permettre à un attaquant distant non authentifié de déclencher un rechargement du périphérique affecté, entraînant un déni de service (DoS).

Cisco a également publié des correctifs logiciels pour ces avis.

10 choses à savoir sur le Wi-Fi MU-MIMO (1ère partie)

Si la technologie Multi-Utilisateur, Multiple-Input, Multiple-Output, plus connue sous le nom de MU-MIMO, représente une grande avancée dans la connectivité sans fil, elle a aussi ses limitations. Voici 10...

le 18/09/2019, par Eric Geier, Network World (adaptation Jean Elyan), 882 mots

Netgear fixe à 700 dollars le prix de son routeur mesh WiFi 6 Orbi

Il faudra débourser une somme certaine pour profiter du WiFi 6 supporté par le routeur mesh Orbi de Netgear. Le routeur mesh WiFi de Netgear, avec son système de réseau maillé WiFi 6 Orbi RBK852 devrait être...

le 10/09/2019, par Ben Patterson, IDG NS (adaptation Jean Elyan), 692 mots

Dépanner les problèmes réseau avec l'analyse prédictive : réalité ou...

L'analyse prédictive peut révéler des problèmes de réseau avant qu'ils n'affectent la fiabilité ou la performance. Considérée à l'origine comme une technologie futuriste, l'analyse prédictive est en passe de...

le 09/09/2019, par John Edwards, Network World (adaptation Jean Elyan), 856 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...