Cisco lance une alerte au sujet de trois failles critiques dans ACI et NS-OX

le 26/02/2021, par Michael Conney, Network World (adapté par Jean Elyan), Réseaux, 829 mots

Des correctifs pour ses logiciels haut de gamme ACI, Application Services Engine (ASE) et son système d'exploitation NX-OS ont été émis par Cisco..

Cisco lance une alerte au sujet de trois failles critiques dans ACI et NS-OX

Cisco a émis trois avis de sécurité qualifiés de « critiques » pour certains de ses logiciels haut de gamme : deux pour l'implementation Application Services Engine (ASE) et un pour le système d'exploitation NX-OS. Mais l'alerte la plus préoccupante concernait l'orchestrateur multi-sites Multi-Site Orchestrator (MSO) de l'infrastructure centrée sur les applications Application Centric Infrastructure (ACI) installé avec ASE, puisque son score était de 10, le pire du système d'évaluation Common Vulnerability Scoring System (CVSS). ACI Multi-Site Orchestrator permet aux clients de contrôler les politiques d'accès aux applications à travers les fabrics basés sur le contrôleur APIC (Application Policy Infrastructure Controller). Selon l'avis de sécurité, une vulnérabilité dans une API de point terminal d'ACI MSO installé sur ASE pourrait permettre à un attaquant distant non authentifié de contourner l'authentification sur un dispositif affecté. Une exploitation réussie pourrait permettre à un attaquant de recevoir un jeton avec des privilèges de niveau administrateur et de s'authentifier à l'API sur le MSO concerné et les dispositifs gérés Application Policy Infrastructure Controller (APIC). « La vulnérabilité est due à une validation incorrecte du jeton sur un terminal API spécifique et affecte Cisco ACI MSO exécutant une version 3.0 du logiciel uniquement quand il est déployé sur Cisco ASE », a déclaré la firme.

La seconde alerte critique, évaluée à 9,8 sur 10 sur l'échelle CVSS, concerne ASE lui-même, qui selon Cisco, est affecté par plusieurs vulnérabilités, en particulier :

- Une vulnérabilité permettrait à un attaquant d'obtenir un accès privilégié pour faire tourner des conteneurs ou invoquer des opérations au niveau de l'hôte. « La vulnérabilité est due à des contrôles d'accès insuffisants pour un service fonctionnant dans le Data Network. « Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes TCP sur mesure à un service spécifique », a déclaré Cisco.

- Une vulnérabilité pourrait permettre à un attaquant non authentifié et distant d'accéder à une API spécifique sur un appareil affecté. Une exploitation réussie permettrait à un attaquant de trouver des informations spécifiques à l'appareil, de créer des fichiers d'assistance technique dans un volume isolé et d'apporter des modifications limitées à la configuration. La vulnérabilité est due à des contrôles d'accès insuffisants pour une API fonctionnant dans le réseau de données. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP élaborées à l'API concernée. « Une exploitation réussie pourrait permettre à un attaquant de trouver des informations spécifiques à l'appareil, de créer des fichiers d'assistance technique dans un volume isolé et d'effectuer des modifications de configuration limitées », a déclaré le fournisseur.

Une vulnérabilité critique frappe NS-OX

Le dernier avis critique, dont le score CVSS est de 9,8 sur 10, concerne le système d'exploitation NS-OX des commutateurs Nexus de Cisco. Selon l'équipementier, une exposition dans la mise en oeuvre d'un service interne de gestion de fichiers pour les commutateurs Nexus Series 3000 et les commutateurs Nexus Series 9000 en mode NX-OS autonome fonctionnant sous NX-OS pourrait permettre à un attaquant distant non authentifié de créer, supprimer ou écraser des fichiers arbitraires avec des privilèges root sur l'appareil. « Cette vulnérabilité existe parce que le port TCP 9075 n'est pas correctement configuré pour écouter et répondre aux demandes de connexion externe », a déclaré Cisco. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des paquets TCP sur mesure à une adresse IP configurée sur une interface locale sur le port TCP 9075. « Une exploitation réussie pourrait permettre à un attaquant de créer, supprimer ou écraser des fichiers arbitraires, y compris des fichiers sensibles liés à la configuration du dispositif », a déclaré Cisco. « Par exemple, l'attaquant pourrait ajouter un compte utilisateur à l'insu de l'administrateur du dispositif », a encore déclaré le fournisseur. Cisco a livré des mises à jour logicielles gratuites corrigeant ces vulnérabilités critiques et conseille aux clients de se rendre à cette adresse pour avoir plus d'informations.

Un certain nombre d'autres avis moins critiques concernant le portefeuille de commutateurs NS-OX et Nexus ont également été émis. L'un d'entre eux décrit une vulnérabilité dans la fonction NX-API du logiciel NX-OS de Cisco qui pourrait permettre à un attaquant distant non authentifié de mener une attaque CSRF (Cross-Site Request Forgery) sur un système affecté. Un exploit réussi pourrait permettre à un attaquant d'effectuer des actions arbitraires avec le niveau de privilège de l'utilisateur concerné. « L'attaquant pourrait voir et modifier la configuration du dispositif », a déclaré la firme. Un autre avis décrit une vulnérabilité dans la connexion VLAN de l'infrastructure de fabric. L'établissement d'une connexion VLAN des commutateurs Cisco Nexus 9000 Series Fabric Switches en mode ACI (Application Centric Infrastructure) pourrait permettre à un attaquant adjacent non authentifié de contourner les validations de sécurité et de connecter un serveur non autorisé au VLAN de l'infrastructure. « Une fois connecté au VLAN de l'infrastructure, l'attaquant peut établir des connexions non autorisées aux services APIC de Cisco ou rejoindre d'autres points d'extrémité hôtes », a déclaré la firme. Des mises à jour logicielles gratuites sont disponibles pour corriger ces failles.

Cisco se prépare au travail hybride

Les employés de Cisco passent au télétravail certains jours de la semaine et utiliseront le matériel réseau de l'équipementier pour se connecter à distance. Les travailleurs distants ne seront plus traités...

le 02/08/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 1086 mots

L'option open switch fait son chemin dans les entreprises

L'intégration de commutateurs et de routeurs en marque blanche dans les réseaux d'entreprise n'est pas sans difficultés, mais des déploiements bien dimensionnés et contrôlés peuvent permettre de réaliser des...

le 15/07/2021, par Tom Nolle, IDG NS (adapté par Jean Elyan), 1348 mots

Vilo perturbe le marché des routeurs avec un réseau maillé à 30€...

Comment profiter de l'impressionnante couverture d'un réseau maillé sans avoir à payer de surcoût pour la dernière technologie WiFi ? Vilo Living a, semble-t-il, la solution. Vilo Living n'est peut-être pas...

le 13/07/2021, par Mark Hachman, PC World (adaptation Jean Elyan), 567 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Olivier Pomel

CEO de Datadog

« Intégrer la sécurité aux projets DevOps est évident »