Cisco met en garde contre un nouveau bug de gravité élevée

Cisco Systems met en garde contre une faille très grave affectant plus d’une demi-douzaine de ses switchs pour petites entreprises. Cette faille pourrait permettre à des attaquants distants non authentifiés d’accéder aux interfaces de gestion des switchs avec des privilèges administratifs.

Les Series Smart Switches, les Series Managed Switches et les Series Stackable Managed Switches sont particulièrement concernés par cette faille. Cisco a déclaré ne pas être au courant de l’exploitation active des vulnérabilités. Des mises à jour logicielles corrigeant les failles sont disponibles pour certains des switchs concernés, cependant, d’autres ont atteint leur fin de vie et ne recevront pas de correctif.

cisco webex

La faille (CVE-2020-3297), qui a une note de 8,1 sur 10,0 sur l’échelle CVSS, provient de l’utilisation d’une faible génération d’entropie pour les identifiants de session, a déclaré un rapport de sécurité Cisco.

“Un pirate informatique pourrait exploiter cette vulnérabilité pour déterminer un identifiant de session en cours par la force brute et réutiliser cet identifiant de session pour reprendre une session en cours”, selon le rapport de Cisco.

De cette façon, un attaquant peut déjouer les protections d’authentification des appareils et obtenir les privilèges du compte de la session détournée. Si la victime est un utilisateur avec des droits administratifs, le pirate informatique pourrait obtenir des privilèges administratifs sur l’appareil.

Les appareils affectés par ce problème sont les suivants: Cisco 250 Series Smart Switches, 350 Series Managed Switches, 350X Series Stackable Managed Switches, 550X Series Stackable Managed Switches, Small Business 200 Series Smart Switches, Small Business 300 Series Managed Switches et Small Business 500 Series Stackable Managed Switches.

Cisco a résolu le problème dans la version 2.5.5.47 du micrologiciel. Cette mise à jour s’appliquera aux Cisco 250 Series Smart Switches, 350 Series Managed Switches, 350X Series Stackable Managed Switches et aux 550X Series Stackable Managed Switches.

Cependant, Cisco a déclaré que les Small Business 200 Series Smart Switches, les Small Business 300 Series Managed Switches et les Small Business 500 Series Stackable Managed Switches ont franchi le cap de la fin de la maintenance logicielle.

“Bien que ces switchs soient vulnérables, Cisco ne fournira pas de correctif de micrologiciel”, a déclaré la société américaine.

cisco

Autres mises à jour de Cisco

Cisco a également publié des correctifs de sécurité pour une multitude de failles de gravité moyenne, y compris celles de ses routeurs RV042 et RV-042G pour petites entreprises, de son centre d’architecture de réseau numérique, de son moteur de services d’identité, de son portail vocal client unifié, des produits de communications unifiées et d’AnyConnect Security Mobility Client.

Plus tôt en Juin, le géant des réseaux a également corrigé trois failles de haute gravité dans son application de conférence Web Webex, dont une qui pourrait permettre à un attaquant non authentifié d’exécuter à distance du code sur les systèmes impactés.

Si cet article vous a plu, jetez un œil à notre article précédent.