L’équipementier Cisco a conseillé à ses clients utilisateurs des commutateurs de datacenters Nexus de corriger une vulnérabilité pouvant exposer ses boîtiers à une attaque par déni de service. Une solution de contournement est également disponible. Cisco a attribué à cette vulnérabilité découverte dans le logiciel Nexus NX-OS le score de 8,6 sur 10 dans le système de notation des vulnérabilités CVSS (Common Vulnerabilities Scoring System), ce qui veut dire que le risque encouru est « élevé ».

Selon Cisco, la vulnérabilité est due au fait qu'un appareil affecté décapsule et traite de manière inattendue des paquets IP-in-IP destinés à une adresse IP configurée localement. L’IP-in-IP est un protocole de tunneling qui enveloppe un paquet IP dans un autre paquet IP. « Un exploit réussi pourrait pousser le dispositif affecté à décapsuler inopinément le paquet IP-in-IP et à transmettre le paquet IP interne. L’une des conséquences, c’est que les paquets IP pourraient contourner les listes de contrôle d'accès (ACL) configurées sur l'appareil affecté ou d'autres règles de sécurité définies ailleurs dans le réseau », a déclaré Cisco. « Dans certaines conditions, un exploit pourrait provoquer l'arrêt et le redémarrage multiple du processus de la pile réseau, et déclencher un redémarrage du dispositif affecté et les conditions propices d’un déni de service DOS ».

Support à contacter

La vulnérabilité affecte plusieurs séries de commutateurs Nexus, depuis les switchs Nexus 1000 Virtual Edge pour VMware vSphere jusqu’aux switchs de la série Nexus 9000. Comme l’a précisé Cisco, une solution de contournement existe : elle consiste à configurer des listes de contrôle d'accès à l'infrastructure (iACL) afin que seul le trafic de gestion et de contrôle requis puisse atteindre le périphérique concerné. C’est ce que recommande aussi le Cisco Guide to Securing NX-OS Software Devices. « Les clients peuvent également refuser explicitement tous les paquets IP avec le protocole numéro 4 (celui qui correspond aux paquets IP-in-IP) dans leurs iACL, si aucun trafic IP-in-IP légitime ne transite dans leur réseau. Ils peuvent aussi mettre en place une politique personnalisée de Control Plane Policing (CoPP) pour refuser le trafic IP-in-IP destiné à un appareil affecté. Cependant, la prise en charge de la personnalisation du CoPP varie en fonction des plateformes Nexus et des versions logicielles ».

Cisco conseille aux clients « de contacter le support de l’entreprise pour évaluer la faisabilité d'une solution de contournement et sa mise en œuvre sur un appareil concerné ». L’équipementier a également indiqué que Cisco Software Checker identifiait les avis de sécurité Cisco Security Advisories affectant des versions spécifiques du logiciel Cisco NX-OS et indiquait la première version dite « First Fixed » qui corrige les vulnérabilités décrites dans chaque avis. Des mises à jour logicielles gratuites corrigeant la vulnérabilité sont disponibles.