Cisco émet trois avis de sécurité critiques pour DNA Center

le 01/07/2019, par Michael Conney, Network World (adapté par Jean Elyan), Sécurité, 725 mots

Trois problèmes de sécurité sérieux signalés par Cisco concernent Data Center Network Manager (DCNM). L'équipemntier a livré des mises à jour logicielles gratuites corrigeant les vulnérabilités décrites dans ces avis.

Cisco émet trois avis de sécurité critiques pour DNA Center

L'équipementier Cisco a émis trois avis de sécurité « critiques » pour les utilisateurs de DNA Center - deux d'entre eux affichant un score de 9,8 sur 10 dans le système de notation Common Vulnerability Scoring System (CVSS). Les deux problèmes les plus sérieux concernent Data Center Network Manager (DCNM). DNA Center permet aux équipes IT de contrôler l'accès par le biais de politiques s'appuyant sur la solution Software-Defined Access (SD-Access) de Cisco, d'assurer un provisionnement automatique via DNA Automation, de virtualiser des périphériques via Network Functions Virtualization (NFV), et de réduire les risques de sécurité par segmentation et en s'appuyant sur la solution Encrypted Traffic Analysis (ETA) de Cisco.

Selon l'un des avis du fournisseur, une vulnérabilité dans l'interface de gestion Web de Data Center Network Manager (DCNM) pourrait permettre à un attaquant de récupérer un cookie de session valide sans connaître le mot de passe d'administration d'un utilisateur en envoyant une requête HTTP spécialement conçue à un servlet Web spécifique disponible sur les dispositifs affectés. La vulnérabilité est liée à une mauvaise gestion des sessions sur les logiciels DCNM concernés. La vulnérabilité affecte les versions du logiciel DCNM antérieures à la version 11.1(1). Cisco a déclaré qu'il avait supprimé complètement le servlet web affecté dans la version 11.1(1) du logiciel DCNM.

Exploitation de paramètrages incorrectes

Cisco a émis un autre avis critique pour une vulnérabilité affectant Data Center Network Manager (DCNM) laquelle pourrait permettre à un attaquant de créer des fichiers arbitraires sur le système de fichiers DCNM sous-jacent en envoyant des données spécialement conçues à un servlet web spécifique disponible sur les périphériques affectés. Selon Cisco, la vulnérabilité est liée à des paramètres d'autorisation incorrects dans le logiciel DCNM affecté. Un exploit réussi pourrait permettre à un attaquant d'écrire des fichiers arbitraires sur le système de fichiers et d'exécuter du code avec les privilèges root sur le périphérique affecté. Cisco a précisé que pour exploiter cette vulnérabilité dans la version 11.0(1) du logiciel DCNM et les versions antérieures, un attaquant doit être authentifié à l'interface de gestion Web de DCNM.

La troisième vulnérabilité - qui affiche un score de 9,3 dans le système CVSS - pourrait permettre à un attaquant adjacent non authentifié de contourner l'authentification et d'accéder aux services internes critiques de DNA Center. Un attaquant pourrait exploiter cette vulnérabilité en connectant un périphérique réseau non autorisé au sous-réseau désigné pour les services en cluster. « Un exploit réussi pourrait permettre à un attaquant d'accéder à des services internes qui ne sont pas durcis pour un accès externe », a expliqué Cisco. « La vulnérabilité est liée à l'insuffisance des restrictions d'accès aux ports nécessaires à l'exploitation du système », a encore déclaré l'entreprise.  Pour cette troisième vulnérabilité, une solution de contournement est disponible pour les clients qui ne peuvent pas mettre à niveau vers une version donnée. Pour coordonner la mise en oeuvre de la solution de contournement, il faut contacter le Cisco Technical Assistance Center (TAC).

Evolution pour les mises à jour

Cisco a livré des mises à jour logicielles gratuites corrigeant les vulnérabilités décrites dans ces avis. Les avis critiques de cette semaine font suite à un autre avis critique émis la semaine dernière pour des vulnérabilités affectant également DNA Center. Cette précédente vulnérabilité - affichant un score de 9,3 dans le système CVSS - pourrait permettre à un attaquant non authentifié de connecter un périphérique réseau non autorisé au sous-réseau destiné aux services en cluster. « Un exploit réussi pourrait permettre à un attaquant d'accéder à des services internes qui ne sont pas protégés pour un accès externe », avait déclaré Cisco. « La vulnérabilité est liée à une restriction d'accès insuffisante sur les ports nécessaires aux opérations système », avait déclaré Cisco, en précisant que le problème avait été identifié lors de tests de sécurité interne. Cette vulnérabilité qui affecte les versions antérieures à la version 1.3 du logiciel DNA Center, a été corrigée dans la version 1.3 et les versions ultérieures.

Cisco a indiqué que les mises à jour du système étaient disponibles à partir du cloud de Cisco et qu'elles n'étaient pas téléchargeables à partir du Software Center sur Cisco.com. Pour mettre à niveau vers une version donnée du logiciel DNA Center, les administrateurs peuvent utiliser la fonction « Mises à jour Système » du logiciel.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...