Les switchs Nexus affectés par une faille patchée par Cisco

Cisco a corrigé une faille de haute gravité qui pourrait entraîner des attaques par déni de service sur sa gamme de switchs Nexus.

La faille se trouve dans le logiciel NX-OS, le système d’exploitation réseau utilisé par les switchs Ethernet Nexus de Cisco.

Si elle est exploitée, la vulnérabilité pourrait permettre à un attaquant distant non authentifié de contourner les listes de contrôle d’accès (ACL) d’entrée configurées sur les switchs Nexus affectés – et de lancer une attaque par déni de service (DoS) sur les appareils.

“Un exploit réussi pourrait entraîner la décapsulation inattendue du paquet IP-in-IP et le transfert du paquet IP interne”, selon l’avis de sécurité de Cisco. “Cela peut entraîner des paquets IP contournant les ACL d’entrée configurées sur le périphérique affecté ou d’autres mesures de sécurité définies ailleurs dans le réseau.”

cisco webex

La vulnérabilité (CVE-2020-10136) provient de la pile réseau du logiciel NX-OS de Cisco. Plus précisément, la faille se trouve dans un protocole de tunneling appelé encapsulation IP-in-IP. Ce protocole permet aux paquets IP d’être encapsulés dans un autre paquet IP. Le protocole IP-in-IP sur le logiciel concerné acceptait les paquets IP-in-IP depuis n’importe quelle source – vers n’importe quelle destination – sans configuration explicite entre les adresses IP des sources et des destinations.

Un pirate informatique pourrait exploiter cette faille de sécurité en envoyant un paquet IP-in-IP spécial à un appareil affecté. Cisco a déclaré que, dans «certaines conditions», les paquets spécialement conçus pouvaient provoquer le blocage et le redémarrage du processus de pile réseau à plusieurs reprises, ce qui conduirait finalement à un déni de service pour les appareils concernés.

La faille affecte particulièrement les gammes Nexus 1000, 3000, 5500, 5600, 6000, 7000 et 9000, ainsi que Cisco Unified Computing System (UCS) 6200 et 06300 Series Fabric Interconnects (voir la liste complète des modèles concernés ci-dessous). Les utilisateurs peuvent également vérifier si leur version de Cisco NX-OS est affectée à l’aide d’un outil de vérification disponible sur l’avis de sécurité de Cisco.

cisco nexus

Comment se protéger de ces failles de switchs Nexus?

Les utilisateurs peuvent effectuer la mise à jour vers le dernier correctif et, “si un appareil a la capacité de désactiver IP-in-IP dans sa configuration, il est recommandé de désactiver IP-in-IP dans toutes les interfaces qui ne nécessitent pas cette fonctionnalité”, selon un avis du CERT. «Les fabricants d’appareils sont priés de désactiver IP-in-IP dans leur configuration par défaut et d’exiger de leurs clients qu’ils configurent explicitement IP-in-IP en fonction des besoins.»

Le code d’exploitation preuve de concept (PoC) a été publié pour le chercheur Yannay Livneh, qui a également découvert la faille.

“Vous pouvez utiliser ce code pour vérifier si votre appareil prend en charge l’encapsulation IP-in-IP par défaut à partir de sources arbitraires vers des destinations arbitraires”, a déclaré Livneh sur GitHub. “L’utilisation prévue de ce code nécessite au moins deux appareils supplémentaires avec des adresses IP distinctes pour ces deux appareils.”

Cisco a déclaré qu’il «n’était au courant d’aucune annonce publique ou d’utilisation malveillante de la vulnérabilité». La vulnérabilité a une note de 8,6 sur 10 sur l’échelle CVSS, ce qui en fait une faille de gravité élevée.

La faille survient une semaine après que Cisco ait annoncé que les pirates étaient capables de compromettre ses serveurs, après avoir exploité deux vulnérabilités connues et critiques de SaltStack. Les failles existent dans le framework open source de Salt, qui est utilisé dans les produits d’outils réseau de Cisco.