L'équipementier Cisco a émis trois avis de sécurité « critiques » pour les utilisateurs de DNA Center - deux d'entre eux affichant un score de 9,8 sur 10 dans le système de notation Common Vulnerability Scoring System (CVSS). Les deux problèmes les plus sérieux concernent Data Center Network Manager (DCNM). DNA Center permet aux équipes IT de contrôler l'accès par le biais de politiques s'appuyant sur la solution Software-Defined Access (SD-Access) de Cisco, d'assurer un provisionnement automatique via DNA Automation, de virtualiser des périphériques via Network Functions Virtualization (NFV), et de réduire les risques de sécurité par segmentation et en s'appuyant sur la solution Encrypted Traffic Analysis (ETA) de Cisco.

Selon l'un des avis du fournisseur, une vulnérabilité dans l'interface de gestion Web de Data Center Network Manager (DCNM) pourrait permettre à un attaquant de récupérer un cookie de session valide sans connaître le mot de passe d'administration d'un utilisateur en envoyant une requête HTTP spécialement conçue à un servlet Web spécifique disponible sur les dispositifs affectés. La vulnérabilité est liée à une mauvaise gestion des sessions sur les logiciels DCNM concernés. La vulnérabilité affecte les versions du logiciel DCNM antérieures à la version 11.1(1). Cisco a déclaré qu'il avait supprimé complètement le servlet web affecté dans la version 11.1(1) du logiciel DCNM.

Exploitation de paramètrages incorrectes

Cisco a émis un autre avis critique pour une vulnérabilité affectant Data Center Network Manager (DCNM) laquelle pourrait permettre à un attaquant de créer des fichiers arbitraires sur le système de fichiers DCNM sous-jacent en envoyant des données spécialement conçues à un servlet web spécifique disponible sur les périphériques affectés. Selon Cisco, la vulnérabilité est liée à des paramètres d'autorisation incorrects dans le logiciel DCNM affecté. Un exploit réussi pourrait permettre à un attaquant d'écrire des fichiers arbitraires sur le système de fichiers et d'exécuter du code avec les privilèges root sur le périphérique affecté. Cisco a précisé que pour exploiter cette vulnérabilité dans la version 11.0(1) du logiciel DCNM et les versions antérieures, un attaquant doit être authentifié à l'interface de gestion Web de DCNM.

La troisième vulnérabilité - qui affiche un score de 9,3 dans le système CVSS - pourrait permettre à un attaquant adjacent non authentifié de contourner l'authentification et d'accéder aux services internes critiques de DNA Center. Un attaquant pourrait exploiter cette vulnérabilité en connectant un périphérique réseau non autorisé au sous-réseau désigné pour les services en cluster. « Un exploit réussi pourrait permettre à un attaquant d'accéder à des services internes qui ne sont pas durcis pour un accès externe », a expliqué Cisco. « La vulnérabilité est liée à l'insuffisance des restrictions d'accès aux ports nécessaires à l'exploitation du système », a encore déclaré l'entreprise.  Pour cette troisième vulnérabilité, une solution de contournement est disponible pour les clients qui ne peuvent pas mettre à niveau vers une version donnée. Pour coordonner la mise en oeuvre de la solution de contournement, il faut contacter le Cisco Technical Assistance Center (TAC).

Evolution pour les mises à jour

Cisco a livré des mises à jour logicielles gratuites corrigeant les vulnérabilités décrites dans ces avis. Les avis critiques de cette semaine font suite à un autre avis critique émis la semaine dernière pour des vulnérabilités affectant également DNA Center. Cette précédente vulnérabilité - affichant un score de 9,3 dans le système CVSS - pourrait permettre à un attaquant non authentifié de connecter un périphérique réseau non autorisé au sous-réseau destiné aux services en cluster. « Un exploit réussi pourrait permettre à un attaquant d'accéder à des services internes qui ne sont pas protégés pour un accès externe », avait déclaré Cisco. « La vulnérabilité est liée à une restriction d'accès insuffisante sur les ports nécessaires aux opérations système », avait déclaré Cisco, en précisant que le problème avait été identifié lors de tests de sécurité interne. Cette vulnérabilité qui affecte les versions antérieures à la version 1.3 du logiciel DNA Center, a été corrigée dans la version 1.3 et les versions ultérieures.

Cisco a indiqué que les mises à jour du système étaient disponibles à partir du cloud de Cisco et qu'elles n'étaient pas téléchargeables à partir du Software Center sur Cisco.com. Pour mettre à niveau vers une version donnée du logiciel DNA Center, les administrateurs peuvent utiliser la fonction « Mises à jour Système » du logiciel.