Cisco a apporté 17 patchs pour corriger des failles de sécurité identifiées dans les logiciels IOS et IOS/XE, lesquels font évoluer la plupart de ses routeurs et commutateurs. Le fournisseur a aussi prévenu que les correctifs pour routeurs RV320 et RV 325, livrés précédemment, ne fonctionnaient pas. Mais pour l’instant il ne peut pas fournir de nouvelle version pour transformer les deux patchs imparfaits.

Nouvel salve de rectificatifs chez Cisco. L’équipementier  a diffusé 17 avis de sécurité touchant 19 vulnérabilités identifiées dans IOS et IOS/XE, les logiciels maison qui servent à faire diriger la plupart de ses routeurs et commutateurs du. L’entreprise a aussi fait savoir que deux correctifs précédemment publiés pour ses routeurs VPN RV320 et RV325 Dual Gigabit WAN VPN étaient « incomplets » et qu’ils devaient être remplacés. Selon Cisco, ces deux vulnérabilités expriment à un « risque élevé ». Comme l’explique le fournisseur, l’une des vulnérabilités est liée à une validation inadaptée des données fournies par l’utilisateur. Un attaquant pourrait exploiter cette fragilité en envoyant des requêtes HTTP POST malveillantes à l’interface de gestion Web d’un périphérique affecté. Un exploit réussi pourrait admettre à l’attaquant de réaliser des commandes arbitraires sur le shell Linux sous-jacent en tant que root.

La seconde fragilité est liée à des contrôles d’accès inadaptés pour les URL. Un attaquant pourrait abuser cette vulnérabilité en se connectant à un périphérique étudié via HTTP ou HTTPS et en sollicitant des URL spécifiques. Un exploit réussi pourrait admettre à l’attaquant de télécharger la configuration du routeur ou des informations de diagnostic détaillées. Cisco a affirmé que les mises à jour de firmware pour résoudre ces vulnérabilités n’étaient pas disponibles pour l’instant et qu’il ne pouvait présenter aucune solution de contournement. Mais le fournisseur s’emploie à développer un correctif complet et opérationnel pour les deux vulnérabilités.

Des bugs avec un risque élevés

Pour ce qui concerne les systèmes IOS, Cisco a expliqué que 6 des 17 vulnérabilités simulent à la fois IOS Software et IOS XE Software, une des fragilités affecte uniquement IOS software et 10 fragilités affectent uniquement IOS XE software. Parmi les bogues de sécurité, tous présentent un « risque élevé ». Voici la description de certaines d’entre elles :

– Une fragilité dans l’interface Web du logiciel Cisco IOS XE pourrait admettre à un attaquant distant non authentifié d’atteindre à des informations de configuration sensibles.

– Une vulnérabilité dans le logiciel IOS XE pourrait admettre à un attaquant local authentifié d’injecter des commandes arbitraires et de les exécuter avec des privilèges élevés. La vulnérabilité est liée à une acceptation imparfaite des commandes fournies par l’utilisateur. Selon Cisco, un attaquant pourrait cultiver cette vulnérabilité en s’authentifiant sur un périphérique et en imposant des données sur mesure aux commandes affectées.

– Un défaut dans l’acceptation du trafic entrant du logiciel IOS XE Software for Aggregation Services Router (ASR) 900 Route Switch Processor 3 pourrait accepter à un attaquant adjacent non authentifié de provoquer le rechargement d’un périphérique affecté, créant des conditions propices à un déni de service (DoS). La vulnérabilité est due au fait que le logiciel ne valide pas assez le trafic entrant sur l’ASIC utilisé sur la plate-forme RSP3. Un attaquant pourrait profiter de cette vulnérabilité en envoyant un message OSPFv2 (Open Shortest Path First) mal formé vers un périphérique affecté.

– Un problème dans le sous-système de permission du logiciel IOS XE pourrait admettre à un attaquant distant authentifié, mais non privilégié (niveau 1) de réaliser des commandes IOS privilégiées en utilisant l’interface consommateur Web. La vulnérabilité est due à une validation incorrecte des privilèges d’utilisateur par des utilisateurs de l’UI Web. Selon Cisco, attaquant pourrait exploiter cette vulnérabilité en soumettant une charge utile malveillante à un point de terminaison spécifique dans l’UI Web.

– Une vulnérabilité dans le code de traitement CMP (Cluster Management Protocol) des logiciels IOS et IOS XE pourrait permettre à un attaquant adjacent non authentifié de créer les conditions d’un déni de service (DoS) sur un périphérique affecté. Selon Cisco, la vulnérabilité est due à une validation insuffisante des inputs lors du traitement des paquets de gestion CMP.

Les mises à jour logicielles punissant les vulnérabilités exposées dans ces avis sont gratuites. Cisco invite les acheteurs à solliciter les conditions d’utilisation de leurs logiciels pour savoir comment télécharger les correctifs.