Cisco lance une alerte au sujet de trois failles critiques dans ACI et NS-OX

le 26/02/2021, par Michael Conney, Network World (adapté par Jean Elyan), Réseaux, 829 mots

Des correctifs pour ses logiciels haut de gamme ACI, Application Services Engine (ASE) et son système d'exploitation NX-OS ont été émis par Cisco..

Cisco lance une alerte au sujet de trois failles critiques dans ACI et NS-OX

Cisco a émis trois avis de sécurité qualifiés de « critiques » pour certains de ses logiciels haut de gamme : deux pour l'implementation Application Services Engine (ASE) et un pour le système d'exploitation NX-OS. Mais l'alerte la plus préoccupante concernait l'orchestrateur multi-sites Multi-Site Orchestrator (MSO) de l'infrastructure centrée sur les applications Application Centric Infrastructure (ACI) installé avec ASE, puisque son score était de 10, le pire du système d'évaluation Common Vulnerability Scoring System (CVSS). ACI Multi-Site Orchestrator permet aux clients de contrôler les politiques d'accès aux applications à travers les fabrics basés sur le contrôleur APIC (Application Policy Infrastructure Controller). Selon l'avis de sécurité, une vulnérabilité dans une API de point terminal d'ACI MSO installé sur ASE pourrait permettre à un attaquant distant non authentifié de contourner l'authentification sur un dispositif affecté. Une exploitation réussie pourrait permettre à un attaquant de recevoir un jeton avec des privilèges de niveau administrateur et de s'authentifier à l'API sur le MSO concerné et les dispositifs gérés Application Policy Infrastructure Controller (APIC). « La vulnérabilité est due à une validation incorrecte du jeton sur un terminal API spécifique et affecte Cisco ACI MSO exécutant une version 3.0 du logiciel uniquement quand il est déployé sur Cisco ASE », a déclaré la firme.

La seconde alerte critique, évaluée à 9,8 sur 10 sur l'échelle CVSS, concerne ASE lui-même, qui selon Cisco, est affecté par plusieurs vulnérabilités, en particulier :

- Une vulnérabilité permettrait à un attaquant d'obtenir un accès privilégié pour faire tourner des conteneurs ou invoquer des opérations au niveau de l'hôte. « La vulnérabilité est due à des contrôles d'accès insuffisants pour un service fonctionnant dans le Data Network. « Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes TCP sur mesure à un service spécifique », a déclaré Cisco.

- Une vulnérabilité pourrait permettre à un attaquant non authentifié et distant d'accéder à une API spécifique sur un appareil affecté. Une exploitation réussie permettrait à un attaquant de trouver des informations spécifiques à l'appareil, de créer des fichiers d'assistance technique dans un volume isolé et d'apporter des modifications limitées à la configuration. La vulnérabilité est due à des contrôles d'accès insuffisants pour une API fonctionnant dans le réseau de données. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP élaborées à l'API concernée. « Une exploitation réussie pourrait permettre à un attaquant de trouver des informations spécifiques à l'appareil, de créer des fichiers d'assistance technique dans un volume isolé et d'effectuer des modifications de configuration limitées », a déclaré le fournisseur.

Une vulnérabilité critique frappe NS-OX

Le dernier avis critique, dont le score CVSS est de 9,8 sur 10, concerne le système d'exploitation NS-OX des commutateurs Nexus de Cisco. Selon l'équipementier, une exposition dans la mise en oeuvre d'un service interne de gestion de fichiers pour les commutateurs Nexus Series 3000 et les commutateurs Nexus Series 9000 en mode NX-OS autonome fonctionnant sous NX-OS pourrait permettre à un attaquant distant non authentifié de créer, supprimer ou écraser des fichiers arbitraires avec des privilèges root sur l'appareil. « Cette vulnérabilité existe parce que le port TCP 9075 n'est pas correctement configuré pour écouter et répondre aux demandes de connexion externe », a déclaré Cisco. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des paquets TCP sur mesure à une adresse IP configurée sur une interface locale sur le port TCP 9075. « Une exploitation réussie pourrait permettre à un attaquant de créer, supprimer ou écraser des fichiers arbitraires, y compris des fichiers sensibles liés à la configuration du dispositif », a déclaré Cisco. « Par exemple, l'attaquant pourrait ajouter un compte utilisateur à l'insu de l'administrateur du dispositif », a encore déclaré le fournisseur. Cisco a livré des mises à jour logicielles gratuites corrigeant ces vulnérabilités critiques et conseille aux clients de se rendre à cette adresse pour avoir plus d'informations.

Un certain nombre d'autres avis moins critiques concernant le portefeuille de commutateurs NS-OX et Nexus ont également été émis. L'un d'entre eux décrit une vulnérabilité dans la fonction NX-API du logiciel NX-OS de Cisco qui pourrait permettre à un attaquant distant non authentifié de mener une attaque CSRF (Cross-Site Request Forgery) sur un système affecté. Un exploit réussi pourrait permettre à un attaquant d'effectuer des actions arbitraires avec le niveau de privilège de l'utilisateur concerné. « L'attaquant pourrait voir et modifier la configuration du dispositif », a déclaré la firme. Un autre avis décrit une vulnérabilité dans la connexion VLAN de l'infrastructure de fabric. L'établissement d'une connexion VLAN des commutateurs Cisco Nexus 9000 Series Fabric Switches en mode ACI (Application Centric Infrastructure) pourrait permettre à un attaquant adjacent non authentifié de contourner les validations de sécurité et de connecter un serveur non autorisé au VLAN de l'infrastructure. « Une fois connecté au VLAN de l'infrastructure, l'attaquant peut établir des connexions non autorisées aux services APIC de Cisco ou rejoindre d'autres points d'extrémité hôtes », a déclaré la firme. Des mises à jour logicielles gratuites sont disponibles pour corriger ces failles.

Plus de 10 000 certifications délivrées par Cisco DevNet

Le portefeuille de certifications DevNet de Cisco se concentre sur la programmation, l'automatisation et le développement d'applications réseau, des compétences logicielles plus essentielles que jamais. Depuis...

le 13/04/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 1514 mots

Arista met à jour sa plate-forme CloudVision avec des fonctions cloud...

Présentée par Arista, la mise à jour CloudVision 2021 permet de faciliter l'automatisation et la gestion des flux de travail distribués. Afin de faciliter la gestion et l'automatisation des workflows...

le 08/04/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 675 mots

ThousandEyes s'invite dans les switchs Catalyst

Lors du Cisco Live ! 2021, organisé en ligne du 30 mars au 1er avril, Cisco a annoncé l'intégration de la technologie ThousandEyes aux commutateurs Cat 9000 et au tableau de bord AppDynamics. Selon Cisco, les...

le 01/04/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 714 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...