Dans son ensemble d’informations bi-annuelles sur la sécurité des logiciels pour ses produits Cisco IOS et IOS XE, Cisco a révélé plus d’une douzaine de vulnérabilités graves dans son logiciel d’automatisation de réseau.
Le géant de la mise en réseau recommande à tous les administrateurs de vérifier quelles versions de Cisco IOS et IOS XE sont sous tension afin de s'assurer qu'ils ont été mis à jour vers des versions qui corrigent les 13 failles distinctes détectées.
Les 13 vulnérabilités très graves révélées par Cisco pourraient donner à un attaquant un accès non autorisé à un périphérique affecté, lui permettre de lancer une attaque par injection de commande ou d'épuiser les ressources d'un périphérique, ce qui entraînerait un déni de service.
Le bogue CVE-2019-12648 dans l'environnement d'application IOx d'IOS est le plus grave et concerne les grands opérateurs de réseau qui utilisent les routeurs de services industriels intégrés de la série 800 et ses routeurs de grille connectés de la série 1000. Heureusement, le bogue est contenu dans un système d'exploitation invité s'exécutant sur une machine virtuelle d'un périphérique IOS affecté. Toutefois, il est possible de remédier à ce problème en effectuant une mise à niveau vers une version fixe d’IOS. Toutefois, si cela n’est pas possible, Cisco suggère aux utilisateurs de désactiver le système d’exploitation invité et indique comment le désinstaller dans son avis.
Sommaire
Utilitaire de traçage de réseau de couche 2
Cisco a également publié un avis concernant un problème rencontré dans l'utilitaire de traçage de réseau de couche 2 sous IOS et IOS XE. Cette fonctionnalité est activée par défaut pour les commutateurs Cisco Catalyst et, selon l'entreprise, un code d'exploitation public est déjà disponible pour ce problème.
Le serveur traiderout de L2 ne nécessite pas d’authentification par conception, ce qui signifie qu'un attaquant peut collecter de nombreuses informations sur un périphérique affecté, notamment le nom d'hôte, le modèle matériel, les interfaces et adresses IP configurées, la base de données VLAN, l'adresse Mac, la table de filtrage de couche 2 et Cisco. Informations sur les voisins du protocole de découverte.
Dans son avis concernant ce problème, Cisco expliquait: "La lecture de ces informations à partir de plusieurs commutateurs du réseau pourrait permettre à un attaquant de créer une carte de topologie L2 complète de ce réseau."
Pour résoudre le problème, les utilisateurs peuvent désactiver leur serveur tracerouter L2 manuellement ou effectuer une mise à niveau vers une version d'IOS ou d'IOS XE désactivée par défaut. Toutefois, ce dernier ne sera possible que plus tard cette année, lorsque Cisco publiera des versions mises à jour du logiciel.
Via ZDNet
