Cisco patch 2 failles de sécurité dans ses switchs

Cisco Systems a déployé deux patchs de sécurité pour des vulnérabilités qui affectent plus d’une demi-douzaine de switchs pour petites entreprises. Ces failles de sécurité permettent à un individu non-authentifié d’accéder à des informations sensibles à distance et de lancer des attaques de déni de service.

Les appareils affectés sont les switchs (ou commutateurs) intelligents, les switchs administrables et les switchs administrables empilables. Cisco affirme ne pas être au courant d’une exploitation active de ces vulnérabilités. Les mises à jour de logiciels pour remédier à ces failles sont disponibles. Il n’y a aucune autre solution de mitigation.

Ces vulnérabilités incluent une faille de divulgation d’information (CVE-2019-15993) et un bug (CVE-2020-3147) qui crée des conditions optimales pour une attaque de déni de service.

cisco

Cisco a expliqué que la seconde faille de sécurité est liée à l’interface utilisateur web utilisée par les switchs affectés et permet à un individu distant non-authentifié de “causer un rechargement inattendu de l’appareil et provoquer une condition de déni de service.”

La faille de sécurité est due à une validation incorrecte des requêtes envoyées à l’interface web. “Un hacker pourrait exploiter cette vulnérabilité en envoyant une requête malveillante à l’interface web sur un appareil affecté,” a écrit Cisco.

Une faiblesse dans l’interface web des switchs pour petites entreprises est aussi à blâmer pour ce bug de divulgation d’information.

“La vulnérabilité existe car le logiciel manque de contrôles d’authentification pour les informations accessibles depuis l’interface web. Un hacker pourrait exploiter cette vulnérabilité en envoyant une requête HTTP malveillante à l’interface web de l’appareil affecté,” a expliqué Cisco.

Une attaque réussie pourrait permettre à un pirate informatique d’accéder aux fichiers de configuration sensibles.

Les appareils Cisco infectés

Les appareils vulnérables à ce bug de divulgation d’information sont: les switchs Cisco intelligents de série 250, les switchs administrables de série 350, les switchs administrables et empilables de série 350X et les scripts administrables et empilables de série 550X utilisant des versions de firmware sorties avant la version 2.5.9.0.92.

Les autres switchs impactés sont les switchs intelligents de série 200, les switchs administrables de série 300 et les switchs administrables et empilables de série 500 utilisant une version de firmware sortie avant la version 1.4.11.4.

Cisco affirme que le bug de déni de service affecte les mêmes produits à l’exception des switchs intelligents de série 250, les switchs administrables de série 350, les switchs administrables et empilables de série 350X ainsi que les switchs administrables et empilables de série 550X.

Le chercheur Ken Pyle de DFDR Consulting a été crédité par l’entreprise américaine pour avoir signalé ces 2 failles de sécurité.

Une nouvelle année mouvementée pour Cisco

Le début de l’année 2020 est pour le moment très mouvementé pour l’entreprise américaine en ce qui concerne les mises à jour de sécurité. Un peu plus tôt le mois dernier, Cisco s’est occupé de 2 vulnérabilités à haute importance dans leurs produits, l’une d’entre elle se trouvait dans la plateforme de conférence vidéo Webex et permettait à un hacker d’exécuter des commandes à distance.

Une autre faille critique dans un outil de sécurité réseau de Cisco a aussi été révélé le mois dernier.

Un petit peu avant cela, Cisco avait patché trois vulnérabilités critiques (CVE-2019-15975, CVE-2019-15976, CVE-2019-15977) dans son Data Center Network Manager (DCNM), pour lesquelles une preuve de concept avait été publié.

Cisco Systems est une entreprise informatique américaine spécialisée, à l’origine, dans le matériel réseau (routeurs et commutateurs ethernet), et depuis 2009 dans les serveurs.

Fondé le 10 décembre 1984 par Leonard Bosack et Sandra Lerner, un couple qui travaillait au service informatique de l’université Stanford, Cisco n’a pas été la première société à créer et vendre des routeurs mais a mis au point le premier routeur permettant d’interconnecter des réseaux utilisant des protocoles de communication différents

Tags: