Une mise à jour sature la mémoire des bornes WiFi Cisco

Plus de 200 modèles de points d'accès WiFi sont touchés par une faille de saturation mémoire pouvant les rendre inutilisables. Elle a été provoquée par une mise à jour logicielle déficiente. Des solutions de remédiation sont disponibles.

Cisco a lancé une alerte sur une vulnérabilité concernant plusieurs équipements WiFi. Elle concerne ceux qui exécutent les versions 17.12.4, 17.12.5, 17.12.6 et 17.12.6a d'IOS XE. Concrètement, elle touche les points d’accès Catalyst série 9130AX, ainsi que les modèles 9130AX avec antenne Stadium, les Catalyst séries 91361, 91621, 9163E, 91641, 9166D1 et IW9167, et les bornes WiFi 6 extérieurs. Au total, plus de 200 modèles sont visés par cette vulnérabilité de dépassement mémoire.

Elle a été provoquée par une mise à jour logicielle défectueuse qui augmente les logs dans la mémoire flash de certains points d’accès WiFi. En ajoutant 5 Mo de données, la mémoire sature et empêche l’application de correctif, voir rend inutilisable les équipements réseaux. « Plus un point d'accès exécute longtemps le logiciel affecté, plus la probabilité qu'un téléchargement de logiciel échoue par manque d'espace est élevée », souligne Cisco dans un avis de sécurité.

Un cercle vicieux dangereux

Robert Enderle, analyste chez Enderle, a déclaré que les « logs corrompus » sont un problème courant dans le domaine des réseaux. Cependant, il a ajouté, « ce cas précis est dangereux, car il exploite les limitations physiques de la mémoire flash sur un matériel notoirement difficile d'accès une fois hors service ou bloqué dans une boucle de redémarrage. Dans le monde des réseaux, il s'agit d'un événement à fort impact, bien que relativement rare. » Pour lui, « ce qui rend ce problème unique, c'est le cercle vicieux qu'il crée. Pour corriger le bug, il faut mettre à jour le logiciel. Or, le bug lui-même empêche l'équipement de disposer de suffisamment d'espace pour télécharger le correctif. Si un administrateur attend trop longtemps, le point d’accès peut nécessiter une intervention manuelle ou rester bloqué définitivement dans une boucle de redémarrage. »

De son côté, Johannes Ullrich, directeur de la recherche au SANS Institute, a qualifié ce problème particulier d'inhabituel, tout en reconnaissant que l'espace de mémoire flash des appareils IoT, tels que les points d'accès, est limité et peut se saturer ponctuellement. «Mais, il y a un problème plus important : un programme de gestion des vulnérabilités [d'un fournisseur] compétent doit toujours inclure la vérification que le correctif a bien été appliqué comme prévu. »

Des remédiations automatisées ou manuelles

Pour les administrateurs, deux solutions sont disponibles. La première est de télécharger l’outil WLANPoller, qui automatise l'application d'un correctif sur plusieurs points d'accès. La seconde est d’utiliser manuellement la commande « show boot » sur chaque appareil pour examiner la partition de démarrage et vérifier si elle dispose de suffisamment d'espace pour une mise à niveau. Des informations plus détaillées sur la procédure à suivre sont disponibles dans l'avis de sécurité Cisco.

Le fournisseur recommande d'effectuer une vérification préalable obligatoire de l'état d'un point d'accès au plus près du rendez-vous de maintenance planifiée. Cependant, comme le fichier log concerné grossit quotidiennement, Robert Enderle souligne : « Il est impératif de ne pas attendre la panne du point d'accès. » La correction manuelle prendra probablement 5 à 10 minutes de travail actif par équipement, a-t-il averti, auxquelles s'ajoutent 15 à 20 minutes de latence pour garantir la réussite de la correction si l'équipement dispose de suffisamment d'espace pour la mise à jour. En cas de problème d'espace, ce temps pourrait atteindre 20 à 45 minutes. Et une à deux heures en cas de défaillance et l’obligation d’avoir un accès physique. L’analyste observe que si un administrateur constate qu'un point d'accès a déjà une mémoire flash saturée, un redémarrage permet parfois d'effacer les tampons temporaires ou de disposer d'une courte fenêtre pour un transfert manuel. Cependant, en raison de ce bug spécifique lié aux journaux, un redémarrage peut s'avérer insuffisant si le fichier est persistant. Les administrateurs doivent contacter Cisco pour obtenir le script de nettoyage d'urgence avant de tenter un déploiement massif, a-t-il conseillé. Les RSSI doivent donc être vigilants sur cette faille, conclut l’analyste « bien qu'il ne s'agisse pas d'une fuite de données, le risque d'une panne WiFi généralisée (en raison de mises à jour automatiques défaillantes ou de boucles de démarrage) peut paralyser l'activité »