Authentification : Cisco corrige une vulnérabilité dans ses équipements

Cisco vient d’entamer la distribution d’une mise à jour pour le firmware de ses pare-feu RV220W. Avant la version 1.0.7.2, celui-ci souffrait en effet d’une vulnérabilité permettant de contourner les mécanismes d’authentification de l’interface Web d’administration.

Dans une notice d’information, Cisco explique que cette vulnérabilité était liée à « une validation insuffisante des entêtes de requêtes HTTP » : « un attaquant distant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP taillée sur mesure, contenant des déclarations SQL malicieuses ». Suivant la configuration, l’interface d’administration est susceptible d’utiliser le code SQL figurant dans l’entête de la requête HTTP pour « déterminer les privilèges de l’utilisateur sur l’appareil ». En cas de succès, l’attaquant peut disposer des droits d’administration sur l’équipement visé.

Des traces d’une exploitation de cette vulnérabilité peuvent figurer dans les logs. A défaut de déployer le correctif, Cisco recommande de désactiver l’administration depuis l’extérieur du réseau de l’entreprise, ou encore de la restreindre à certaines adresses IP.

Plusieurs équipementiers ont récemment découvert des vulnérabilités liées à l’authentification sur leurs produits. Fortinet vient ainsi de trouver un compte d’administration à distance dont le mot de passe est codé en dur, dans plusieurs versions de ses produits FortiSwitch, FortiAnalyzer, et FortiCache.

Cette découverte fait suite à celle d’un « problème d’authentification » corrigé à l’été 2014 et qualifié par des tiers de portes dérobées. Plus tôt, une porte dérobée avait été découverte dans les équipements Juniper.