Cisco: des bogues de BPA et WSA permettent des cyberattaques à distance

0

Un ensemble de vulnérabilités d’élévation de privilèges de haute gravité affectant l’application Business Process Automation (BPA) et l’appliance de sécurité Web (WSA) de Cisco pourraient permettre à des attaquants distants authentifiés d’accéder à des données sensibles ou de prendre le contrôle d’un système ciblé.

Les deux premiers bogues (CVE-2021-1574 et CVE-2021-1576) se trouvent dans l’interface de gestion Web de Cisco Business Process Automation (BPA), qui est utilisée pour rationaliser divers processus informatiques. Ses fonctions incluent les mises à niveau du système d’exploitation, l’activation des appareils, les contrôles de conformité et la migration des serveurs.

Les failles, qui sont toutes deux évaluées à 8,8 sur 10 sur l’échelle de gravité de vulnérabilité CVSS, pourraient permettre à un attaquant distant authentifié d’élever ses privilèges au niveau administrateur. Un exploit réussi impliquerait l’envoi de messages HTTP spécialement conçus à un système affecté.

« Ces vulnérabilités sont dues à une application incorrecte des autorisations pour des fonctionnalités spécifiques et pour l’accès aux fichiers logs contenant des informations confidentielles », selon l’avis de Cisco. L’exploitation pourrait amener un adversaire « à effectuer des actions non autorisées avec les privilèges d’un administrateur, ou en récupérant des données sensibles dans les logs et en les utilisant pour usurper l’identité d’un utilisateur privilégié légitime », a noté la société.

  • Pour CVE-2021-1574, un attaquant avec des informations d’identification d’utilisateur valides pourrait exécuter des commandes non autorisées;
  • Pour CVE-2021-1576, un attaquant avec des informations d’identification valides pourrait accéder au sous-système de journalisation d’un système affecté et récupérer des données sensibles. Le système n’est vulnérable que lorsqu’un utilisateur légitime maintient une session active sur le système, a noté Cisco.

Les vulnérabilités affectent les versions de Cisco BPA antérieures à la version 3.1.

Pendant ce temps, le troisième bogue affecte l’appliance WSA de Cisco, qui offre une protection à ceux qui utilisent un réseau d’entreprise pour accéder au Web, en bloquant automatiquement les sites à risque et en testant les sites inconnus avant de permettre aux utilisateurs de cliquer dessus.

cisco

La faille (CVE-2021-1359, score CVSS de 6,3 sur 10) se trouve dans la gestion de la configuration du système d’exploitation AsyncOS de Cisco qui alimente le WSA. Selon l’avis de Cisco, cela pourrait permettre à un attaquant distant authentifié d’effectuer une injection de commande et d’élever les privilèges au niveau root.

« Cette vulnérabilité est due à une validation insuffisante de l’entrée XML fournie par l’utilisateur pour l’interface Web », a expliqué le géant des réseaux. « Un attaquant pourrait exploiter cette vulnérabilité en téléchargeant des fichiers de configuration XML spécialement conçus contenant du code de script sur un appareil vulnérable. Un exploit réussi pourrait permettre à l’attaquant d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent et d’élever les privilèges au niveau root.

Le bogue est de gravité élevée plutôt que critique, car tout attaquant potentiel aurait besoin d’un compte utilisateur valide avec les droits de télécharger des fichiers de configuration afin d’exploiter le bogue – quelque chose qui pourrait être réalisé via un autre exploit ou une attaque d’hameçonnage.

Le problème affecte à la fois les itérations virtuelles et matérielles des appliances, dans les versions 11.8 et antérieures, ainsi que 12.0 et 12.5.

Ce ne sont que les derniers correctifs publiés par Cisco ; le mois dernier, ils ont corrigé plusieurs vulnérabilités de sécurité de haute gravité dans leurs switchs intelligents Small Business série 220, qui sont des équipements de mise en réseau pour les PME. Les failles pourraient permettre des attaques à distance qui permettrait de voler des informations, supprimer des logiciels malveillants et perturber les opérations, via le piratage de session, l’exécution de code arbitraire, les scripts intersites (XSS) et l’injection HTML.

Si cet article vous a plu, n’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire