Vulnérabilités multiples dans des produits Cisco

Plusieurs vulnérabilités dans les produits Cisco ont été annoncées, les plus critiques permettent à un attaquant d'exécuter des commandes à distance.

CVE-2019-16009 [Score CVSS v3 : 8.8] : Une vulnérabilité dans l’interface Web de CISCO IOS et CISCO IOS XE permet à un attaquant distant non authentifié de réaliser des attaques d’injection de requêtes illégitimes par rebond (Cross-Site Request Forgery)

Cette vulnérabilité est due à une protection anti CSRF insuffisante pour l’interface Web des équipements affectés. Un attaquant peut exploiter cette vulnérabilité en persuadant un utilisateur légitime de suivre un lien vers un site malveillant qui provoque l’envoi de requêtes à l’insu de l’utilisateur et en son nom.

Une exploitation réussie permettrait à l'attaquant d'effectuer des actions arbitraires avec le niveau de privilège de l'utilisateur ciblé. Si l'utilisateur dispose de privilèges administratifs, l'attaquant pourrait modifier la configuration, exécuter des commandes ou recharger un équipement affecté.

CVE-2019-16005 [Score CVSS v3 : 7.2] : Une vulnérabilité dans l’interface web de gestion de Cisco Webex Video Mesh permet à un attaquant distant authentifié d'exécuter des commandes arbitraires dans le système.

Cette vulnérabilité est due à une mauvaise vérification des entrées de l'utilisateur. Un attaquant ayant les droits d’administrateur peut envoyer des requêtes spécifiques afin d'exécuter des commandes en tant que root sur le système d’exploitation Linux qui héberge Cisco Webex Video Mesh.

Informations
+

Risques

  • Exécution de commandes à distance. 
  • Altération de la configuration.

Criticité

  • Score CVSS v3 : 8.8 max.

Existence d’un code d‘exploitation

  • Aucun code d'exploitation n'est actuellement disponible.

Composants vulnérables

  • Cisco Webex Video Mesh avec une version antérieure à 2019.09.19.1956m.
  • Les équipements Cisco utilisant une version vulnérable de Cisco IOS ou Cisco IOS XE antérieure à la version 16.1.1 avec la fonction de serveur HTTP activée. Les informations pour vérifier si la version est vulnérable et si le serveur HTTP est activé sont disponibles dans cette page
  • Cisco Webex Event Center, Cisco Webex Meeting Center, Cisco Webex Support Center, et Cisco Webex Training Center (Version Cloud)
  • Cisco Vision Dynamic Signage Director avec une version antérieure  à 6.2 Service Pack 2.
  • Cisco UCS Director avec une version antérieure 6.7.3.1.
  • Cisco StarOS avec une version antérieure 21.16.1.
  • Cisco ISE avec la version 2.2.
  • Cisco IP Phone 6800, 7800 et 8800 avec une version antérieure à 11.3(1).
  • Cisco Emergency Responder avec une version antérieure à 12.5 Su1.
  • Cisco Data Center Analytics Framework avec une version antérieure à 8.3.7.5.4.
  • Cisco Unified CVP avec une version antérieure à 11.6(1) ES-11 et  12.0(1) ES-7.
  • Cisco Crosswork Change Automation avec une version antérieure à 3.1
  • Cisco AnyConnect Secure Mobility Client pour Android avec une version antérieure à 4.8.00826.

CVE

  • CVE-2019-16009
  • CVE-2019-16005
  • CVE-2020-3116
  • CVE-2019-16004
  • CVE-2019-16003
  • CVE-2019-16026
  • CVE-2019-15255
  • CVE-2019-16008
  • CVE-2019-15278
  • CVE-2019-16025
  • CVE-2019-16015
  • CVE-2019-16017
  • CVE-2019-16024
  • CVE-2019-16007

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Cisco IOS et Cisco IOS XE à la version 1.6.1.1 ou à une version supérieure.
  • Mettre à jour Cisco Webex Video Mesh à la version 2019.09.19.1956m ou à une version ultérieure.
  • Mettre à jour Cisco Vision Dynamic Signage Director avec une version antérieure  à 6.2 Service Pack 2.
  • Mettre à jour Cisco UCS Director à la version 6.7.3.1 ou à une version supérieure.
  • Mettre à jour Cisco StarOS à la version 21.16.1 ou à une version supérieure.
  • Mettre à jour Cisco ISE à la version 2.2P16.
  • Mettre à jour Cisco IP Phone 6800, 7800 et 8800 à la version 11.3(1) ou à une version supérieure.
  • Mettre à jour Cisco Emergency Responder à la version  12.5 Su1 ou à une version supérieure.
  • Mettre à jour Cisco Data Center Analytics Framework à la version  à 8.3.7.5.4 ou à une version supérieure.
  • Mettre à jour Cisco Unified CVP à la version 11.6(1) ES-11 ou à la version   12.0(1) ES-7 ou à une version supérieure.
  • Mettre à jour Cisco Crosswork Change Automation à la version  3.1 ou à une version supérieure.
  • Mettre à jour Cisco AnyConnect Secure Mobility Client pour Android à la version 4.8.00826 ou à une version supérieure.

Solution de contournement

Aucune solution de contournement n’existe pour corriger les vulnérabilités cependant la désactivation du serveur HTTP élimine le vecteur d’attaque pour la CVE-2019-16009. Les commandes disponibles dans cette page permettent de le faire.