Les commutateurs Nexus de Cisco touchés par une faille critique

le 03/06/2020, par Michael Cooney, IDG NS (adapté par Jean Elyan), Sécurité, 455 mots

Une faille de sécurité touchant la plate-forme Cisco Nexus NS-OS pourrait être exploitée par des cyberpirates pour lancer des attaques DOS.

Les commutateurs Nexus de Cisco touchés par une faille critique

L'équipementier Cisco a conseillé à ses clients utilisateurs des commutateurs de datacenters Nexus de corriger une vulnérabilité pouvant exposer ses boîtiers à une attaque par déni de service. Une solution de contournement est également disponible. Cisco a attribué à cette vulnérabilité découverte dans le logiciel Nexus NX-OS le score de 8,6 sur 10 dans le système de notation des vulnérabilités CVSS (Common Vulnerabilities Scoring System), ce qui veut dire que le risque encouru est « élevé ».

Selon Cisco, la vulnérabilité est due au fait qu'un appareil affecté décapsule et traite de manière inattendue des paquets IP-in-IP destinés à une adresse IP configurée localement. L'IP-in-IP est un protocole de tunneling qui enveloppe un paquet IP dans un autre paquet IP. « Un exploit réussi pourrait pousser le dispositif affecté à décapsuler inopinément le paquet IP-in-IP et à transmettre le paquet IP interne. L'une des conséquences, c'est que les paquets IP pourraient contourner les listes de contrôle d'accès (ACL) configurées sur l'appareil affecté ou d'autres règles de sécurité définies ailleurs dans le réseau », a déclaré Cisco. « Dans certaines conditions, un exploit pourrait provoquer l'arrêt et le redémarrage multiple du processus de la pile réseau, et déclencher un redémarrage du dispositif affecté et les conditions propices d'un déni de service DOS ».

Support à contacter

La vulnérabilité affecte plusieurs séries de commutateurs Nexus, depuis les switchs Nexus 1000 Virtual Edge pour VMware vSphere jusqu'aux switchs de la série Nexus 9000. Comme l'a précisé Cisco, une solution de contournement existe : elle consiste à configurer des listes de contrôle d'accès à l'infrastructure (iACL) afin que seul le trafic de gestion et de contrôle requis puisse atteindre le périphérique concerné. C'est ce que recommande aussi le Cisco Guide to Securing NX-OS Software Devices. « Les clients peuvent également refuser explicitement tous les paquets IP avec le protocole numéro 4 (celui qui correspond aux paquets IP-in-IP) dans leurs iACL, si aucun trafic IP-in-IP légitime ne transite dans leur réseau. Ils peuvent aussi mettre en place une politique personnalisée de Control Plane Policing (CoPP) pour refuser le trafic IP-in-IP destiné à un appareil affecté. Cependant, la prise en charge de la personnalisation du CoPP varie en fonction des plateformes Nexus et des versions logicielles ».

Cisco conseille aux clients « de contacter le support de l'entreprise pour évaluer la faisabilité d'une solution de contournement et sa mise en oeuvre sur un appareil concerné ». L'équipementier a également indiqué que Cisco Software Checker identifiait les avis de sécurité Cisco Security Advisories affectant des versions spécifiques du logiciel Cisco NX-OS et indiquait la première version dite « First Fixed » qui corrige les vulnérabilités décrites dans chaque avis. Des mises à jour logicielles gratuites corrigeant la vulnérabilité sont disponibles.

Introduction en bourse attendue chez SentinelOne

L'éditeur de solution XDR SentinelOne enregistre une forte croissance de ses revenus mais aussi de ses pertes. Le dynamisme de son activité revient en partie à son réseau de partenaires à travers lequel...

le 10/06/2021, par Fabrice Alessi, 649 mots

Bain Capital et Crosspoint Capital rachètent ExtraHop

Les fonds d'investissement Bain Capital Private Equity et Crosspoint Capital Partners ont racheté le fournisseur de sécurité du réseau ExtraHop. Basé à Seattle, le fournisseur américain de cyberanalyse...

le 09/06/2021, par Eleanor Dickinson, ARNnet (adaptation Jean Elyan), 238 mots

Les composants open source ne sont pas suffisamment mis à jour dans...

Les failles découvertes et corrigées par les équipes de projet open-source dans le code open-source des logiciels réseau commerciaux ne seront pas forcément adoptées dans les éditeurs. D'où l'intérêt de...

le 04/06/2021, par Jon Gold / Network World (adaptation Jean Elyan), 929 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Olivier Pomel

CEO de Datadog

« Intégrer la sécurité aux projets DevOps est évident »