Alerte sur de graves et multiples vulnérabilités dans les produits Cisco

Il est possible d’exécuter du code arbitraire à distance dans les équipements Cisco. Les failles sont multiples, graves et exploitées à grande échelle actuellement.

“De manière générale, les attaques sur les équipements réseau sont une tendance de l’année”, souligne Hervé Schauer, expert en cybersécurité, alors que nous l’interrogeons sur la faille Cisco, ou plus exactement sur les multiples failles Cisco, dont la presse a fait peu écho. “Pour être complet, il y a trois failles, indique le spécialiste, citant d’abord une faille uniquement sur IOS XE, c’est-à-dire l’IOS des gros commutateurs, un IOS recompilé sur le système d’exploitation QNX”. Le bulletin Cisco (CVE2018-0150) est ici.

Il s’agit d’un “compte caché, non-documenté, autant dire que c’est une porte dérobée”, explique-t-il. C’est un compte appelé “cisco” avec des privilèges de niveau 15, “c’est-à-dire “root”, les plus élevés possibles.” Pour le spécialiste, l’affaire est donc de taille ! “Heureusement, le mot de passe du compte n’est pas encore publié sur Internet”, souligne-t-il…

Il s’agit d’un “compte caché, non-documenté, autant dire que c’est une porte dérobée”

Par défaut, la configuration de l’IOS de Cisco est à risque

Le deuxième problème concerne tous les Cisco IOS, avec deux failles ‘permettant toutes les deux des exécutions de code à distance sans authentification”. En cause, le “Smart Install” d’IOS, une technologie permettant le déploiement et la configuration automatique d’un commutateur : tous les routeurs utilisés par les accès ADSL et autres sont affectés. Ce qui fait passer les lumières au rouge chez les CERT (CVE2018-0151 et CVE2018-0171).  “Avec sa fonctionnalité “Smart Install”, Cisco a privilégié le “prêt à l’emploi” plutôt que la sécurité par défaut. Il faut que le “Security by design” prenne le pas sur le “Plug and Play”…”, martèle Hervé Schauer. Premier bulletin Cisco. Second bulletin Cisco .

Début avril, Cisco Talos alertait sur la forte probabilité d’exploitation de cette vulnérabilité, remarquant un trafic anormal et évoquant des attaques liées à des Etats.

“Cisco a privilégié le “prêt à l’emploi” plutôt que la sécurité par défaut”

Pour se protéger, il faut mettre à jour IOS sur ses équipements réseau. Il est aussi possible de filtrer le port 4786 et de le monitorer, mais cela ne suffit pas, il faut aussi appliquer les correctifs, conseille Hervé Schauer.

Tout début février, c’est une vulnérabilité critique qui avait découverte par NCC Group dans les pare-feu Cisco ASA, offrant la possibilité à un attaquant de voir toutes les données qui passent par le système, et lui fournissant également les privilèges d’ administrateur pour accéder au réseau à distance.