Une erreur de conception affecte la sécurité de millions d’appareils Cisco dans le monde

Des chercheurs en sécurité de l’entreprise « Red Balloon » ont découvert deux vulnérabilités critiques sur un large éventail de produits Cisco utilisés dans des réseaux entreprises et gouvernementaux et affectant les routeurs, switch et pare-feux du constructeur.

La première concernerait potentiellement des millions d’appareils dans le monde et permettrait à des individus malveillants d’installer des portes dérobées permanentes. Surnommée « Thrangrycat » par les chercheurs, cette vulnérabilité est une série de défauts de conception matériels entraînant la possibilité pour un attaquant de modifier le système informatique (« firmware ») de l’appareil sans que les systèmes vérifiant son intégrité et sa non-modification ne le remarquent.

Couplée à la seconde vulnérabilité découverte par les chercheurs, un attaquant pourrait, à distance, installer des portes dérobées sur des équipements Cisco et bloquer toute possibilité de mise à jour du mécanisme vulnérable. Enfin, étant donné que la vulnérabilité réside dans un défaut matériel, il est peu probable qu'un correctif logiciel de sécurité résolve complètement le problème de sécurité fondamentale affectant ces produits.

Les détails complets de ces deux vulnérabilités seront dévoilés lors de la conférence « Black Hat USA » d’août.

Détails techniques :

• CVE-2019-1862 [CVSS v3 7.2] : Une vulnérabilité de l'interface utilisateur Web du logiciel Cisco IOS XE pourrait permettre à un attaquant distant authentifié d'exécuter des commandes arbitraires sur l’interface système Linux (« shell Linux) sous-jacente avec des privilèges élevés (« root »).
• Cette vulnérabilité est due au fait que le logiciel affecté supprime incorrectement les entrées fournies par l'utilisateur. Un exploit réussi pourrait permettre à l’attaquant d’exécuter des commandes arbitraires sur le périphérique avec ces mêmes privilèges, ce qui pourrait compromettre totalement la sécurité du système.

• CVE-2019-1649 [CVSS v3 6.7]  : Vulnérabilité « Thrangry cat » qui concerne les appareils supportant « Trust Anchor module » (TAm).
• TAm est une sécurité matérielle, implémentée sur la quasi-totalité des appareils Cisco pour entreprise depuis 2013, ayant pour objectif de vérifier que le système informatique (« firmware ») qui s’exécute sur la machine est authentique et non modifié.
• Il s’agit d’un défaut de logique dans la conception du matériel permettant à un utilisateur possédant des privilèges élevée (« root ») de modifier le système informatique du système en le réécrivant. Pour obtenir ces privilèges élevés, les chercheurs de « Red Balloon » ont exploité la vulnérabilité précédente.