Cisco a corrigé ce qu'il a qualifié de vulnérabilité critique dans son logiciel Unified Computing System Performance Manager. Cette faille pourrait laisser la possibilité à un utilisateur malveillant authentifié d'exécuter à distance des commandes. Toutes les versions d'UPS Performance Manager sont touchées jusqu'à la 2.0 sachant que le problème ne touche pas les versions 2.0.1 et supérieures de ce logiciel. Ce dernier permet de collecter des informations concernant les serveurs, le réseau, le stockage et les machines virtuelles.

D'après Cisco, cette vulnérabilité est due à une validation insuffisante de données entrantes effectuées sur les paramètres passant via une requête HTTP GET. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP GET conçues pour un système ciblé, afin d'exécuter des commandes arbitraires dotées de privilèges d'un utilisateur possédant toutes les permissions systèmes (root). La société a proposé des mises à jour logicielles afin de résoudre cette vulnérabilité qui ne dispose pas d'autre solution de contournement, a-t-elle indiqué. Ce patch arrive après une série de correctifs de sécurité lancés par Cisco, notamment pour combler des failles dans son micrologiciel IOS embarqué dans plusieurs de ses produits réseaux - dont en particulier les routeurs NCS 6000 Series - ainsi que les serveurs de conférence web, WebEx.

Failles en série sur les équipements Cisco

Une autre faille a été corrigée dans Cisco IOS XR 6.0.1.BASE, permettant aussi à des attaquants d'exécuter des commandes arbitraires sur le système d'exploitation avec des privilèges root utilisateur. Cette dernière a été classée comme étant moyennement critique car l'attaquant a besoin d'être authentifié en tant qu'utilisateur local. Par ailleurs, une vulnérabilité DDoS a aussi été corrigée dans Cisco IOS. Elle peut être utilisée pour faire crasher des terminaux via des liens Link Layer Discovery Protocol (LLDP) spécifiques. Contrairement aux précédentes, l'exploitation de cette faille ne requiert pas d'authentification, mais nécessite que l'attaquant soit en mesure d'envoyer des paquets LLDP.

Les serveurs Meeting de Cisco ont aussi été patchés d'après IDG. Une vulnérabilité était dans l'interface HTTP de Cisco Meeting Server (anciennement Acano Conferencing Server) permettant à des attaquants de lancer des attaques XSS contre des utilisateurs de cette interface. Avec la possibilité d'exploiter cette faille en trompant les utilisateurs pour les faire cliquer sur des liens corrompus afin d'exécuter du mauvais code JavaScript dans leurs navigateurs pour leur voler les cookies d'authentification ou les forcer à effectuer des actions non autorisées.