Cisco révèle 1 faille critique d’un outil de sécurité réseau

La faille réside dans un outil de gestion administrative de Cisco qui est utilisé avec des solutions de sécurité réseau comme les pare-feux.

La faille pourrait permettre à un individu non-authentifié d’obtenir des privilèges administratifs à distance sur les appareils impactés.

Cette vulnérabilité a été localisée dans l’interface web du Firepower Management Center (FMC) de Cisco. Ce dernier est une plateforme qui permet de gérer les solutions de sécurité réseau de Cisco tels que les pare-feux ou son service de protection avancée contre les malwares. Cisco a distribué des patchs pour la vulnérabilité (CVE-2019-16028) qui a un score CVSS de 9,8 sur 10, c’est donc une faille critique.

“Le PSIRT (Product Security Incidence Response Team), l’équipe de Cisco qui est chargée de la réponse face aux incidents n’est au courant d’aucunes annonces publiques ou utilisation malveillante de la vulnérabilité décrite dans le rapport,” a déclaré Cisco.

La vulnérabilité est causée par “un mauvais traitement” des réponses d’authentification LDAP depuis un serveur d’authentification externe. LDAP est un protocole standard de l’industrie qui est utilisé pour gérer et accéder aux informations des services d’annuaire sur un réseau IP.

LDAP est utilisé pour plusieurs fonctions dans FMC, comme l’authentification du portail de gestion web de FMC, l’autorisation d’accès au VPN à distance, l’autorisation sur l’interface de ligne de commande, et bien d’autres encore. Cette vulnérabilité impacte seulement le Portail de Gestion Web de FMC si il est configuré pour authentifier les utilisateurs du portail de gestion web via un serveur LDAP externe.

Un hacker pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP spéciales à l’appareil vulnérable. Il pourrait ensuite contourner l’authentification et obtenir un accès administratif à l’interface de gestion web sur l’appareil affecté.

Cisco

Selon Omar Santos, l’ingénieur en chef du PSIRT de Cisco, les clients peuvent effectuer les actions suivantes pour déterminer si ils ont été affectés:

  • Vérifier si le logiciel FMC est configuré pour authentifier les utilisateurs de l’interface de gestion web via un serveur LDAP externe
  • Vérifier si l’authentification externe qui utilise un serveur LDAP est configuré sur le système (System>Utilisateurs>Authentification Externe)

En tout, Cisco a distribué des mises à jour de sécurité qui ont adressé 27 failles. En plus de la faille critique de FMC, il y’avait 7 vulnérabilités de haute importance et 19 vulnérabilités moyennes. Certaines des vulnérabilités à haute-importance étaient localisés dans le TelePresence Collaboration Endpoint (un produit conçu par Cisco pour lier 2 salles pour qu’elles ressemblent à une seule salle de conférence), la solution SD-WAN, le logiciel IOS XR et bien d’autres encore.

Une nouvelle année mouvementée pour Cisco

Le début de l’année 2020 est très mouvementé pour l’entreprise américaine en terme de mises à jour de sécurité. Un peu plus tôt le mois dernier, Cisco s’est occupé de 2 vulnérabilités à haute importance dans leurs produits, l’une d’entre elle se trouvait dans la plateforme de conférence vidéo Webex et permettait à un hacker d’exécuter des commandes à distance.

Un petit peu avant cela, Cisco avait patché trois vulnérabilités critiques (CVE-2019-15975, CVE-2019-15976, CVE-2019-15977) dans son Data Center Network Manager (DCNM), pour lesquelles une preuve de concept avait été publié.