La vulnérabilité la plus critique parmi les 27 avis de sécurité émis par aujourd'hui Cisco, a été identifiée dans le système de pare-feu Firepower. La faille pourrait permettre à un attaquant de contourner l'authentification et d'exécuter des actions arbitraires avec des privilèges d’administration sur un dispositif particulier.

La vulnérabilité affectant Firepower Management Center (FMC), qui affiche un score de gravité de 9,8 sur 10, est liée à une mauvaise gestion des réponses d'authentification LDAP (Lightweight Directory Access Protocol) émises par un serveur d'authentification externe. Un attaquant pourrait exploiter la vulnérabilité en envoyant des requêtes HTTP élaborées à un appareil affecté et obtenir un accès administrateur à son interface de gestion basée sur le web. Selon Cisco, la vulnérabilité affecte le logiciel FMC s'il est configuré pour authentifier les utilisateurs de l'interface de gestion basée sur le web via un serveur LDAP externe. Les clients peuvent corriger la vulnérabilité soit en effectuant une mise à jour vers une version logicielle ne présentant plus la faille, soit en exécutant le patch correctif. 

Voici les options possibles :

- Si vous utilisez une version antérieure à la version Firepower 6.1.0, vous devez migrer vers une version 6.2.3 et appliquer les correctifs disponibles.

- Si vous utilisez la version Firepower 6.1.0, vous pouvez soit appliquer le correctif (Sourcefire_3D_Defense_Center_S3_Hotfix_ES-6.1.0.8-2.sh) ou migrer vers une version 6.2.3 et appliquer le correctif disponible.

- Si vous utilisez les versions 6.2.0 à 6.2.2 de Firepower, vous devez migrer vers une version 6.2.3 et appliquer le correctif disponible.

- Pour les versions 6.2.3 ou 6.3.0, vous devez appliquer les correctifs disponibles, en sachant que des versions de maintenance seront livrées plus tard cette année.

- Si vous utilisez la version 6.4.0 de Firepower, vous devez appliquer les correctifs disponibles ou mettre à niveau vers la version 6.4.0.7.

- Enfin, les utilisateurs de la version 6.5.0 doivent effectuer la mise à jour vers la version 6.5.0.2. 

Parmi les autres avis de sécurité, certains concernent le paquet SD-WAN de Cisco. Un premier avis pointe une faiblesse du logiciel IOS XE SD-WAN du fournisseur qui pourrait permettre à un attaquant local non authentifié d'accéder à un dispositif non autorisé et d’en prendre le contrôler total. « La vulnérabilité est due à la présence d'identifiants par défaut dans la configuration par défaut d'un dispositif affecté », a expliqué Cisco. Un attaquant qui a accès à un dispositif vulnérable pourrait se connecter avec des privilèges élevés. La vulnérabilité concerne les dispositifs Cisco exécutant les versions 16.11 et antérieures du logiciel IOS XE SD-WAN Software.

Des correctifs pour Solution vManage 

Le second problème lié au SD-WAN se situe dans l’interface de ligne de commande (CLI) du logiciel SD-WAN Solution vManage. Un exploit pourrait permettre à un attaquant d’obtenir une élévation de privilèges au niveau root. La vulnérabilité est liée à une validation insuffisante des entrées. Un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécifiquement conçu au système vulnérable. Selon Cisco, la vulnérabilité affecte la version 18.4.1 du logiciel SD-WAN Solution vManage. L’équipementier a indiqué qu'il avait livré des mises à jour logicielles pour ces deux vulnérabilités SD-WAN.

D’autres vulnérabilités avec un score de gravité élevé ont également été identifiées dans l’implementation de la fonctionnalité Border Gateway Protocol (BGP) Ethernet VPN (EVPN) du logiciel IOS XR. Celles-ci pourraient permettre à un attaquant distant non authentifié de favoriser les conditions d’un déni de service (DoS). Les autres vulnérabilités sont liées au traitement incorrect des messages BGP mis à jour avec des attributs EVPN élaborés. Un attaquant pourrait exploiter ces vulnérabilités en envoyant des messages BGP EVPN mis à jour contenant des attributs incorrects pouvant être traités par un système vulnérable. « Un exploit réussi pourrait permettre à un attaquant de faire redémarrer le processus BGP de manière inattendue, ce qui favoriserait des conditions de déni de service DoS », a expliqué Cisco. L’équipementier a déjà livré des mises à jour gratuites corrigeant ces vulnérabilités.