Les commutateurs Nexus de Cisco touchés par une faille critique

le 03/06/2020, par Michael Cooney, IDG NS (adapté par Jean Elyan), Sécurité, 455 mots

Une faille de sécurité touchant la plate-forme Cisco Nexus NS-OS pourrait être exploitée par des cyberpirates pour lancer des attaques DOS.

Les commutateurs Nexus de Cisco touchés par une faille critique

L'équipementier Cisco a conseillé à ses clients utilisateurs des commutateurs de datacenters Nexus de corriger une vulnérabilité pouvant exposer ses boîtiers à une attaque par déni de service. Une solution de contournement est également disponible. Cisco a attribué à cette vulnérabilité découverte dans le logiciel Nexus NX-OS le score de 8,6 sur 10 dans le système de notation des vulnérabilités CVSS (Common Vulnerabilities Scoring System), ce qui veut dire que le risque encouru est « élevé ».

Selon Cisco, la vulnérabilité est due au fait qu'un appareil affecté décapsule et traite de manière inattendue des paquets IP-in-IP destinés à une adresse IP configurée localement. L'IP-in-IP est un protocole de tunneling qui enveloppe un paquet IP dans un autre paquet IP. « Un exploit réussi pourrait pousser le dispositif affecté à décapsuler inopinément le paquet IP-in-IP et à transmettre le paquet IP interne. L'une des conséquences, c'est que les paquets IP pourraient contourner les listes de contrôle d'accès (ACL) configurées sur l'appareil affecté ou d'autres règles de sécurité définies ailleurs dans le réseau », a déclaré Cisco. « Dans certaines conditions, un exploit pourrait provoquer l'arrêt et le redémarrage multiple du processus de la pile réseau, et déclencher un redémarrage du dispositif affecté et les conditions propices d'un déni de service DOS ».

Support à contacter

La vulnérabilité affecte plusieurs séries de commutateurs Nexus, depuis les switchs Nexus 1000 Virtual Edge pour VMware vSphere jusqu'aux switchs de la série Nexus 9000. Comme l'a précisé Cisco, une solution de contournement existe : elle consiste à configurer des listes de contrôle d'accès à l'infrastructure (iACL) afin que seul le trafic de gestion et de contrôle requis puisse atteindre le périphérique concerné. C'est ce que recommande aussi le Cisco Guide to Securing NX-OS Software Devices. « Les clients peuvent également refuser explicitement tous les paquets IP avec le protocole numéro 4 (celui qui correspond aux paquets IP-in-IP) dans leurs iACL, si aucun trafic IP-in-IP légitime ne transite dans leur réseau. Ils peuvent aussi mettre en place une politique personnalisée de Control Plane Policing (CoPP) pour refuser le trafic IP-in-IP destiné à un appareil affecté. Cependant, la prise en charge de la personnalisation du CoPP varie en fonction des plateformes Nexus et des versions logicielles ».

Cisco conseille aux clients « de contacter le support de l'entreprise pour évaluer la faisabilité d'une solution de contournement et sa mise en oeuvre sur un appareil concerné ». L'équipementier a également indiqué que Cisco Software Checker identifiait les avis de sécurité Cisco Security Advisories affectant des versions spécifiques du logiciel Cisco NX-OS et indiquait la première version dite « First Fixed » qui corrige les vulnérabilités décrites dans chaque avis. Des mises à jour logicielles gratuites corrigeant la vulnérabilité sont disponibles.

Les installations de gaz et pétrole US compromises par la Chine

L'alerte de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) fournit des détails sur l'historique des compromissions de réseaux et dénonce le manque de préparation des fournisseurs de...

le 21/07/2021, par Christopher Burgess, IDG NS (adapté par Jean Elyan), 951 mots

Des firewalls virtuels dopés aux DPU chez Palo Alto Networks

L'équipementier Palo Alto Networks commercialise une famille de pare-feu virtuels de nouvelle génération conçus spécifiquement pour être utilisés avec les DPU BlueField de Nvidia. Annoncé fin 2019, le DPU...

le 19/07/2021, par Serge LEBLAL, 510 mots

Kenna Security vient renforcer la plateforme Secure X de Cisco

Avec l'acquisition de Kenna Security, Cisco met la main sur sa technologie de gestion des risques de sécurité basée sur la science des données que l'équipementier prévoit d'intégrer à sa plate-forme Secure X....

le 01/07/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 514 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Olivier Pomel

CEO de Datadog

« Intégrer la sécurité aux projets DevOps est évident »