Cisco corrige un bug critique de contournement d’authentification doté d’un exploit public

0

Cisco a résolu une vulnérabilité de contournement d’authentification de gravité presque maximale du logiciel d’infrastructure NFV d’entreprise (NFVIS) avec un code d’exploitation de preuve de concept publique.

La faille de sécurité (identifiée comme CVE-2021-34746) a été trouvée dans l’authentification TACACS+, l’autorisation et la comptabilité (AAA) du logiciel d’infrastructure NFV d’entreprise de Cisco, une solution conçue pour aider à virtualiser les services réseau pour une gestion plus facile des fonctions de réseau virtuel (VNF ).

CVE-2021-34746 est causé par une validation incomplète de l’entrée fournie par l’utilisateur transmise à un script d’authentification pendant le processus de connexion, ce qui permet à des attaquants distants non authentifiés de se connecter à un appareil non corrigé en tant qu’administrateur.

« Un attaquant pourrait exploiter cette vulnérabilité en injectant des paramètres dans une demande d’authentification », a expliqué Cisco dans un avis de sécurité.

« Un exploit réussi pourrait permettre à l’attaquant de contourner l’authentification et de se connecter en tant qu’administrateur à l’appareil concerné. »

Tous les appareils Enterprise NFVIS ne sont pas vulnérables

Les déploiements d’entreprise NFVIS ne sont affectés par cette vulnérabilité que si la méthode d’authentification externe TACACS est activée sur un appareil ciblé.

Pour vérifier si un périphérique est vulnérable aux exploits CVE-2021-34746, vous devez vérifier si la fonction d’authentification externe TACACS est activée.

Cela peut être fait via la ligne de commande à l’aide de la commande show running-config tacacs-server (qui devrait afficher « no entries found » lorsque TACACS est désactivé).

Vous pouvez également utiliser l’interface graphique en allant dans Configuration > Hôte > Sécurité > Utilisateur et rôles et en vérifiant si la fonctionnalité apparaît sous Authentification externe.

Cisco a déclaré qu’aucune solution de contournement n’était disponible pour supprimer le vecteur d’attaque exposé par cette faille de sécurité, mais a corrigé le problème dans les versions 4.6.1 et ultérieures de Cisco Enterprise NFVIS.

Bien que l’équipe de réponse aux incidents de sécurité des produits (PSIRT) de la société ait déclaré que le code d’exploitation de preuve de concept est disponible, elle a également ajouté qu’elle n’était au courant d’aucune exploitation en cours dans la nature.

Il y a un mois, Cisco a révélé qu’il travaillait toujours sur un correctif pour une vulnérabilité zero-day d’exécution de code à distance dans le lanceur Adaptive Security Device Manager (ADSM) divulgué en juillet.

Laisser un commentaire