Failles de sécurité critiques Cisco UCS à corriger sans attendre

le 16/04/2020, par Michael Cooney, IDG NS (adapté par Jean Elyan), Infrastructure, 660 mots

L'équipementier de San José a publié 17 avis de sécurité en rapport avec des vulnérabilités d'authentification affectant ses serveurs Unified Computing System (Cisco UCS).

Failles de sécurité critiques Cisco UCS à corriger sans attendre

Cisco a publié un ensemble de 17 avis de sécurité critiques concernant des vulnérabilités d'authentification affectant ses serveurs UCS. Ces vulnérabilités pourraient permettre à des attaquants de s'introduire dans les systèmes ou de provoquer des dénis de service. « Les problèmes concernent plus particulièrement les systèmes UCS Director et Express de Cisco, qui permettent aux clients de construire des systèmes de cloud privé et de prendre en charge des processus d'approvisionnement et d'orchestration automatisés afin d'optimiser et de simplifier la fourniture des ressources de datacenters », comme l'a déclaré l'entreprise. La plupart des problèmes résultent d'une faiblesse de l'API REST, utilisée par diverses applications Web, dans les produits Cisco concernés. La gravité de ces vulnérabilités est de 9,8 sur 10 dans le système CVSS (Common Vulnerability Scoring System).

Voici quelques-uns des problèmes potentiels causés par ces vulnérabilités :

- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant non authentifié de contourner l'authentification et d'exécuter des actions arbitraires avec des privilèges d'administrateur sur un appareil affecté. La vulnérabilité est due à une validation insuffisante du contrôle d'accès. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête élaborée à l'API REST.

- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant authentifié d'exécuter du code arbitraire avec des privilèges root sur le système d'exploitation sous-jacent. La vulnérabilité est due à une validation d'entrée incorrecte. « Un attaquant pourrait exploiter cette faille en créant un fichier malveillant et en l'envoyant à l'API REST », a déclaré Cisco.

- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant non authentifié de contourner l'authentification et d'exécuter des appels d'API sur un appareil affecté. La vulnérabilité est due à une validation insuffisante du contrôle d'accès. « Une exploitation réussie pourrait permettre à l'attaquant d'interagir avec l'API REST et de provoquer un déni de service (DoS) sur le dispositif concerné », a déclaré Cisco.

L'équipementier rappelle qu'il a livré des mises à jour logicielles gratuites corrigeant ces vulnérabilités et qu'il a corrigé les vulnérabilités dans UCS Director version 6.7.4.0 et UCS Director Express for Big Data version 3.7.4.0. « Steven Seeley (mr_me) de Source Incite a collaboré avec Trend Micro Zero Day Initiative pour divulguer les failles, lesquelles n'ont pas été exploitées », a déclaré Cisco.

D'autres correctifs pour les IP Phone

En dehors de ces produits UCS, Cisco a également émis cette semaine deux autres avis de sécurité critiques pour des failles affectant ses IP Phones. « En premier lieu, une vulnérabilité dans le serveur web pour IP Phons du fournisseur pourrait permettre à un attaquant distant non authentifié d'exécuter du code avec des privilèges root ou pourrait redémarrer un téléphone IP affecté, ce qui favoriserait les conditions d'un déni de service DoS », a déclaré la firme. Cette vulnérabilité affecte les produits Cisco suivants s'ils ont un accès web activé et s'ils exécutent une version de firmware antérieure à la première version corrigée pour ce dispositif :

- IP Phone 7811, 7821, 7841 et Desktop Phone 7861

- IP Phone 8811, 8841, 8845, 8851, 8861 et Desktop Phone 8865$

- Unified IP Conference Phone 8831

- Wireless IP Phone 8821 et 8821-EX

Un autre problème à propos de l'IP Phone concernait l'application web pour les IP Phone de Cisco. Celle-ci pouvait permettre à un attaquant d'envoyer une requête HTTP au serveur web d'un appareil ciblé. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter à distance du code avec des privilèges root ou de redémarrer un IP Phone affecté, ce qui favoriserait les conditions d'un déni de service DoS. « Cette vulnérabilité est liée au fait que le logiciel affecté ne vérifie pas les limites des données d'entrée », a déclaré Cisco. La société a publié des mises à jour logicielles gratuites pour corriger ces problèmes.

La protection antiransomware des mainframes arrive sur les baies...

Développée à l'origine pour les mainframes Z, la solution Safeguarded Copy d'IBM arrive sur les baies FlashSystem. Elle prend un instantané des systèmes et le stocke là où les ransomwares ne peuvent pas...

le 23/07/2021, par Andy Patrizio, NetworkWorld (adapté par Serge Leblal), 400 mots

Le concept de NaaS prend pied dans les entreprises

Le NaaS comprend généralement du matériel, des logiciels et des licences intégrés, fournis sous forme d'abonnement. Le jour est proche où les administrateurs IT pourront commander des équipements réseau à p

le 20/07/2021, par Michael Cooney, IDG NS, et Serge Leblal, 2402 mots

Attention à la négligence dans la gestion des sous-domaines DNS

La prise de contrôle de sous-domaines est un problème de DNS qui peut nuire à la crédibilité de l'entreprise. Malgré tout, trop d'entre-elles le laissent perdurer. Toute entreprise ayant un site Web a...

le 12/07/2021, par Chris Nermey, IDG NS (adapté par Jean Elyan), 775 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Olivier Pomel

CEO de Datadog

« Intégrer la sécurité aux projets DevOps est évident »