Plusieurs produits Cisco de téléphonie sur IP affectés par des vulnérabilités importantes

L'équipe de développement de Cisco a publié 5 bulletins de sécurité corrigeant chacun une vulnérabilité considérée comme importante. Un attaquant pourrait les exploiter afin d’exécuter du code arbitraire à distance, d’effectuer une attaque par déni de service (DDoS) ou de contourner l’authentification sur les produits de téléphonie sur IP Cisco. Ces attaques seraient simples à mettre en œuvre et nécessiteraient un niveau d'authentification plus ou moins important selon les vulnérabilités. De la même manière, l'impact estimé sur la confidentialité et l'intégrité des données serait variable pour les mêmes raisons.

Les produits affectés sont les téléphones IP Cisco de série 7800 et 8800. Ces appareils utilisent la voix sur IP, ou « VoIP » (pour Voice over IP), technique permettant de transmettre la voix sur des réseaux IP. Les deux principaux protocoles utilisés sont SIP (pour Session Initiation Protocol) qui permet d'initier un appel et d'authentifier ses participants et RTP (pour Real Time Protocol) qui permet de transporter les flux audio et video.

Détails techniques :

Les vulnérabilités sont fondées sur des vulnérabilités présentes au niveau de l’interface web permettant de manager le protocole SIP :

• CVE-2019-1716 [CVSS v3 9.8] : Cette vulnérabilité affecte les plateformes web de management du protocole SIP pour les téléphones de la gamme 8800 et 7800. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire à distance ou d’effectuer une attaque par déni de service. La vulnérabilité résulte d’une insuffisance de vérification des entrées fournies lors de l’authentification d’un utilisateur. Un attaquant pourrait utiliser cette faille pour se connecter à un système à l’aide de l'identifiant d’un utilisateur authentifié de façon légitime.
• CVE-2019-1764 [CVSS v3 8.8] : Cette vulnérabilité permet d’effectuer une falsification de requête (CSRF : Cross-site request forgery) sur l’interface web de Management de SIP pour les téléphones de la gamme 8800. Un attaquant passera par l'intermédiaire d'un utilisateur authentifié en lui envoyant une fausse requête qu’il effectuera à son insu. Ainsi, l’attaquant pourra effectuer n’importe quelle opération depuis l’appareil de son choix. Cette vulnérabilité est due à une protection insuffisante de la plateforme web gérant le protocole SIP contre ce type d’attaque.
• CVE-2019-1764 [CVSS v3 8.8] : Cette vulnérabilité permet un déplacement latéral dans l’interface web de management de SIP pour les téléphones de la gamme 8800. Ainsi, un attaquant authentifié pourrait écrire du code arbitraire à distance dans le système de fichier de la plateforme web gérant le protocole SIP. Cela est dû à une gestion insuffisante des permissions au niveau des fichiers.
• CVE-2019-1763 [CVSS v3 7.5] : Cette vulnérabilité permet de contourner l’autorisation d’accès à la plateforme web de management du protocole SIP pour les téléphones de la gamme 8800. Un attaquant pourrait, à distance, accéder à des services critiques et effectuer une attaque par déni de service. La vulnérabilité trouve son origine dans le fait que la plateforme ne vérifie pas lorsque l'hyperlien (URL) reçoit ou non l'injection de caractères spéciaux, permettant de contourner l’authentification.
• CVE-2019-1766 [CVSS v3 7.5] : Cette vulnérabilité permet le téléversement de fichiers dans l’interface web de management du protocole SIP pour les téléphones de la gamme 8800, pouvant éventuellement causer l'indisponibilité du service. Cela est dû au fait que la plateforme ne limite pas la taille des fichiers envoyés. Ainsi, un attaquant pourrait exploiter cette vulnérabilité en téléversant un fichier consommant l’intégralité de la mémoire du disque du système.   

Des correctifs ont été publiés par Cisco et sont disponibles au téléchargement depuis le 20 mars 2019. Du fait de leur criticité, les utilisateurs sont invités à appliquer ces mises à jour le plus rapidement possible.