La mise à jour livrée cette semaine par Cisco corrige les multiples vulnérabilités d'authentification critiques repérées dans le logiciel Data Center Network Manager (DCNM) des commutateurs de datacenter Nexus. DCNM est un tableau de bord de gestion centralisé pour les fabrics de datacenter basées sur les commutateurs Nexus de Cisco. Il gère plusieurs tâches essentielles comme l'automatisation, le contrôle de la configuration, la gestion des politiques de flux et l’état de santé en temps réel du fabric, des dispositifs et la topologie du réseau.

Le fournisseur fait état de trois vulnérabilités dans les mécanismes d'authentification DCNM. Ces failles, auxquelles elle a attribué un score CVSS (Common Vulnerability Scoring System) de 9,8 sur 10, pourraient permettre à un attaquant distant de contourner l'authentification et d'exécuter des actions arbitraires avec des privilèges d’administration sur les dispositifs vulnérables. Cisco a déclaré que les vulnérabilités sont indépendantes les unes des autres, de sorte qu'il n'est pas nécessaire d'en exploiter une pour en exploiter une autre. « De plus, la version d’un logiciel affectée par l'une des vulnérabilités peut ne pas être affectée par les autres », a aussi précisé l'entreprise.

Les principales vulnérabilités critiques

Vulnérabilité de contournement de l'authentification API REST : Une vulnérabilité dans le point d'extrémité API REST de Cisco DCNM pourrait permettre à un attaquant distant de contourner l'authentification. « La vulnérabilité est due au partage d’une clé de chiffrement statique entre les installations. Un attaquant pourrait exploiter cette vulnérabilité en utilisant la clé statique pour créer un token de session valide. Une exploitation réussie de la vulnérabilité pourrait permettre à l'attaquant d'effectuer des actions arbitraires par le biais de l'API REST avec des privilèges d’administration », a déclaré Cisco.

Vulnérabilité de contournement de l'authentification API SOAP : Une vulnérabilité dans le point d'extrémité API SOAP de Cisco DCNM pourrait permettre à un attaquant distant non authentifié de contourner l'authentification sur un périphérique affecté. Comme la vulnérabilité REST, ce problème est lié au partage d’une clé de chiffrement statique entre les installations. De la même manière, une exploitation réussie de la vulnérabilité pourrait permettre des actions arbitraires via l'API SOAP avec des privilèges d’administration.

Vulnérabilité de contournement de l'authentification : Une faille dans l'interface de gestion basée sur le web de Cisco DCNM pourrait également permettre à des attaquants distants de contourner l'authentification sur un périphérique affecté. « Là encore, la vulnérabilité est due à la présence d'identifiants statiques qu'un attaquant pourrait exploiter en les utilisant pour s'authentifier dans l'interface utilisateur », a déclaré Cisco. « Une exploitation réussie de la vulnérabilité pourrait permettre à l'attaquant d'accéder à une section spécifique de l'interface Web et de récupérer certaines informations confidentielles sur un dispositif affecté. Cette information pourrait être utilisée pour mener d'autres attaques contre le système », a déclaré Cisco.

« Il n'existe pas de solution de contournement pour remédier à ces vulnérabilités, mais la version du logiciel DCNM livrée par Cisco permet de régler ces problèmes », a ajouté l'entreprise. Cisco a déclaré qu’à sa connaissance, les vulnérabilités DCNM n’ont pas été divulguées publiquement, et qu’il n’y avait pas eu d’exploitation malveillante de ces failles.

Les vulnérabilités moins critiques

Cisco a signalé la présence de nombreuses autres vulnérabilités DCNM impliquant les API REST et SOAP dont la gravité est « élevée » ou « moyenne ». Notamment :

Vulnérabilité par injection SQL de l'API REST : Une vulnérabilité dans l'API REST de Cisco DCNM pouvait permettre à un attaquant distant authentifié ayant des privilèges d’administration d'exécuter des commandes SQL arbitraires sur un périphérique affecté. « La vulnérabilité est due à une vérification insuffisante des entrées fournies par l'utilisateur à l'API et un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête spécifique à l'API », a expliqué l’équipementier. Une exploitation réussie de la vulnérabilité pourrait permettre à un attaquant de voir des informations qu'il n'est pas autorisé à voir, d'apporter des modifications au système qu'il n'est pas autorisé à modifier ou d'exécuter des commandes dans le système d'exploitation sous-jacent qui pourraient affecter la disponibilité du système.

Vulnérabilité par traversée de chemin de l'API REST : Une vulnérabilité dans l'API REST de Cisco DCNM pourrait permettre à un attaquant distant authentifié, disposant de privilèges d’administration, de lancer des attaques par traversée de répertoire sur un dispositif affecté. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête spécifique à l'API, laquelle pourrait permettre à l'attaquant de lire, écrire ou exécuter des fichiers arbitraires dans le système avec des privilèges d’administration complets. « La vulnérabilité est due à une vérification insuffisante de l'entrée fournie par l'utilisateur à l'API », a encore écrit le fournisseur.

Vulnérabilité par injection de commandes de l'API REST : Une vulnérabilité dans l'API REST de Cisco DCNM pourrait permettre à un attaquant distant authentifié avec des privilèges d'administration sur l'application DCNM, d'injecter des commandes arbitraires dans le système d'exploitation sous-jacent. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête spécifique à l'API et pourrait permettre à un attaquant d’exécuter des commandes arbitraires sur le périphérique avec tous les privilèges d’administration. « La vulnérabilité est due à une vérification insuffisante de l'entrée fournie par l'utilisateur à l'API », a déclaré Cisco.

Vulnérabilité par injection SQL de l'API SOAP : Une vulnérabilité dans l'API SOAP de Cisco DCNM pourrait permettre à un attaquant distant authentifié d'exécuter, avec des privilèges d’administration, des commandes SQL arbitraires sur un périphérique affecté. Une exploitation réussie de la vulnérabilité pourrait permettre à l'attaquant de voir des informations qu'il n'est pas autorisé à voir, d'apporter des modifications au système qu'il n'est pas autorisé à modifier ou d'exécuter des commandes dans le système d'exploitation sous-jacent qui pourraient affecter la disponibilité du dispositif. « Le problème est dû à une vérification insuffisante de l'entrée fournie par l'utilisateur à l'API », a écrit Cisco.

Vulnérabilité par traversée de chemin de l'API SOAP : Une vulnérabilité dans l'API SOAP de DCNM pourrait permettre à un attaquant distant authentifié avec des privilèges d’administration, de mener des attaques par traversée de répertoire sur un dispositif affecté. Une exploitation réussie de la vulnérabilité pourrait permettre à l'attaquant de lire, écrire ou exécuter des fichiers arbitraires dans le système avec des privilèges d’administration complets. Cisco a indiqué que la vulnérabilité était due à une vérification insuffisante des données fournies par l'utilisateur à l'API.

Vulnérabilité par injection de commandes de l'API SOAP : Une vulnérabilité dans l'API SOAP de DCNM pourrait permettre à un attaquant distant authentifié avec des privilèges d’administration sur l'application DCNM d'injecter des commandes arbitraires dans le système d'exploitation sous-jacent. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête spécifique à l'API. Une exploitation réussie de la vulnérabilité pourrait permettre à un attaquant d'exécuter des commandes arbitraires sur l'appareil avec des privilèges d’administration complets. Cisco a indiqué que la vulnérabilité était due à une vérification insuffisante de l'entrée fournie par l'utilisateur à l'API.

Vulnérabilité par traversée de chemin : Une vulnérabilité dans la fonction Application Framework de DCNM pourrait permettre à un attaquant distant authentifié avec des privilèges d’administration, d'effectuer des attaques de traversée de répertoire sur un dispositif affecté. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête spécifique à l'application. Une exploitation réussie de la vulnérabilité pourrait permettre à l'attaquant de lire, d'écrire ou d'exécuter des fichiers arbitraires dans le système avec des privilèges d’administration complets. « La vulnérabilité est due à une vérification insuffisante des entrées fournies par l'utilisateur au point final Application Framework », a déclaré Cisco.

Cisco a livré des mises à jour logicielles qui corrigent les vulnérabilités. L’entreprise a déclaré que toutes les vulnérabilités des versions 11.3.1 et ultérieures de son logiciel DCNM avaient été corrigées.