Vulnérabilités dans plusieurs produits Cisco
Date de publication :
Plusieurs vulnérabilités ayant un niveau de risque critique ont été corrigées par Cisco dans plusieurs de leurs produits.
Cisco ACI Multi-Site Orchestrator Application Services Engine Deployment
CVE-2021-1388[Score CVSS v3 : 10.0] : Une vulnérabilité dans un terminal API de Cisco ACI Multi-Site Orchestrator (MSO) installé sur le moteur de services d'application a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié de contourner l'authentification sur un appareil affecté. Cette faille est due à une validation de jeton incorrecte sur un point d'extrémité d'API spécifique. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête élaborée à l'API concernée. Une exploitation réussie pourrait permettre à l'attaquant de recevoir un jeton avec des privilèges de niveau administrateur qui pourraient être utilisés pour s'authentifier auprès d’une API spécifique sur les dispositifs MSO et les dispositifs Cisco Application Policy Infrastructure Controller (APIC) concernés.
Cisco NX-OS
CVE-2021-1361 [Score CVSS v3 : 9.1] : Une vulnérabilité dans la mise en œuvre d'un service interne de gestion de fichiers pour les commutateurs Cisco Nexus série 3000 et série 9000 en mode NX-OS autonome qui exécutent le logiciel Cisco NX-OS a été corrigée. Cette faille est due au fait que le port TCP 9075 est mal configuré pour écouter et répondre aux demandes de connexion externe. Son exploitation pourrait permettre à un attaquant distant et non authentifié de créer, supprimer ou écraser des fichiers arbitraires avec des privilèges racines sur l'appareil. L’attaquant pourrait, par exemple, ajouter un compte utilisateur à l'insu de l'administrateur de l'appareil.
Cisco Application Services Engine
CVE-2021-1393 [Score CVSS v3 : 9.8] : Cette vulnérabilité est due à l'insuffisance des contrôles d'accès à un service fonctionnant dans le réseau de données. Un attaquant distant et non-authentifié peut exploiter cette vulnérabilité en envoyant des requêtes TCP élaborées à un service spécifique. Une exploitation réussie pourrait permettre à l'attaquant d'avoir un accès privilégié pour exécuter des conteneurs ou des opérations non spécifiées au niveau de l'hôte sous-jacent.
CVE-2021-1396[Score CVSS v3 : 6.5] : Cette vulnérabilité est due à des contrôles d'accès insuffisants de la part d'une API spécifique. Un attaquant distant et non-authentifié peut potentiellement exploiter cette vulnérabilité en envoyant des requêtes HTTP élaborées à l'API concernée. Une exploitation réussie pourrait permettre à l'attaquant d'apprendre des informations spécifiques à l'appareil, de créer des fichiers d'assistance technique dans un volume isolé et d'apporter des modifications limitées à la configuration.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Contournement d'authentification
- Élévation de privilèges
- Exposition d’informations sensibles
- Violation des politiques de sécurité
Criticité
- Scores CVSS v3 : 6.5 ; 9.1 ; 9.8 ; 10.0
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Cisco ACI Multi-Site Orchestrator Software v3.0
- Les versions 3.0(1i) et 3.0(3m) ne sont pas impactées par ces vulnérabilités.
- Cisco NX-OS versions 9.3(5) et 9.3(6) sur les dispositifs Cisco Nexus série 3000 et série 9000 en mode NX-OS autonome.
- Cisco Application Services Engine v1.1(3d) et antérieures.
Afin de vérifier si vos dispositifs Cisco Nexus série 3000 et série 9000 sont vulnérables, il est possible de rentrer dans l'invite de commande la ligne suivante :
"show sockets connection | include 9075"
Si cette commande renvoie un résultat, les dispositifs sont alors impactés par la CVE-2021-1361.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les logiciels et dispositifs impactés conformément aux instructions de Cisco.
Solution de contournement
Aucune solution de contournement n’est disponible à l’heure actuelle.