Cisco: une faille RCE critique dans les téléphones IP

Cisco met en garde contre une faille critique dans le serveur Web de ses téléphones IP. Si elle est exploitée, la faille pourrait permettre à un attaquant distant non authentifié d’exécuter du code à distance(RCE) avec des privilèges root ou de lancer une attaque de déni de service (DoS).

Le code d’exploitation preuve de concept (PoC) a été publié sur GitHub pour la vulnérabilité (CVE-2020-3161), elle a une note de 9,8 sur 10 sur l’échelle CVSS. Cisco a distribué des correctifs dans un communiqué concernant la faille. Cette vulnérabilité affecte diverses versions de ses téléphones IP destiné aux petites et moyennes entreprises.

Selon Jacob Baines, qui a découvert la faille, les serveurs Web des téléphones IP de Cisco manquaient de validation d’entrée appropriée pour les requêtes HTTP. Pour exploiter la faille, un pirate informatique pourrait simplement envoyer une requête HTTP spéciale au point de terminaison /deviceconfig/setActivationCode (sur le serveur Web de l’appareil ciblé).

Cela déclenche un débordement de tampon sur la pile en raison du manque de validation d’entrée: «Dans libHTTPService.so, les paramètres après /deviceconfig/setActivationCode sont utilisés pour créer un nouvel URI via un appel de fonction sprintf. La longueur de la chaîne de paramètres n’est pas vérifiée », selon Baines.

Le résultat final est que le hacker peut faire planter l’appareil, ou même potentiellement exécuter du code à distance(RCE).

Les produits concernés incluent: les téléphones IP 7811, 7821, 7841 et 7861; les téléphones IP 8811, 8841, 8845, 8851, 8861 et 8865 ; les téléphones de conférence IP unifié 8831 et les téléphones IP sans fil 8821 et 8821-EX.

Selon Cisco, certains de ces produits (en particulier les téléphones IP sans fil 8821 et 8821-EX) sont utilisés par des organismes de santé qui sont actuellement en première ligne face à la pandémie du coronavirus.

cisco

Sur son site web, Cisco a également confirmé plusieurs produits qui ne sont pas concernés par la faille. Au-delà des correctifs, il y’a aussi une technique de mitigation de la faille qui consiste à désactiver l’accès Web sur les téléphones IP (en fait, l’accès Web est désactivé par défaut sur les téléphones IP).

Les nouvelles découvertes de Baines ont également poussé Cisco à augmenter le niveau de gravité d’une vulnérabilité (CVE-2016-1421) découverte précédemment dans ses téléphones IP. Auparavant, la faille était de gravité moyenne (note de 5 sur 10 sur l’échelle CVSS).

Cependant, Baines a découvert que la faille pouvait être exploitée par un individu non authentifié (au premier abord Cisco avait déclaré que l’exploitation de la faille nécessitait une authentification) et pouvait potentiellement permettre l’exécution de code à distance ainsi que des dénis de service (précédemment ils pensaient que seulement le déni de service était possible). Baines a également constaté qu’un produit, le téléphone IP sans fil 8821, était vulnérable et ne figurait pas sur la liste concernée.

D’autres failles critiques de Cisco

Cisco a également corrigé des failles critiques et de gravité élevée liées à 9 CVE dans son Cisco Unified Computing System (UCS) Director et Cisco UCS Director Express for Big Data. Cisco UCS Director est une plate-forme de gestion de bout en bout pour divers composants d’infrastructure de données Cisco et d’autres marques. Cisco UCS Director Express for Big Data est une plate-forme de cloud privé ouverte qui fournit un service Big-Data-as-a-Service sur place.

Les failles de sécurité (CVE-2020-3239, CVE-2020-3240, CVE-2020-3243, CVE-2020-3247, CVE-2020-3248, CVE-2020-3249, CVE-2020-3250, CVE-2020-3251 , CVE-2020-3252) se trouvent dans l’API REST pour les deux produits et peuvent permettre à un attaquant distant de contourner l’authentification ou de mener des attaques de traversée de répertoire sur un appareil affecté. Vous trouverez ci-dessous une liste des produits concernés et des versions patchées.

cisco

Steven Seeley de Source Incite, en collaboration avec Zero Day Initiative de Trend Micro, a été reconnu pour avoir signalé ces failles de sécurité.

«L’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) n’a connaissance d’aucune annonce publique ni utilisation malveillante des vulnérabilités décrites dans ce communiqué», a déclaré Cisco.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x