Cisco, Drupal : des vulnérabilités à corriger de toute urgence

Le week-end pascal promet d’être long pour de nombreux administrateurs consciencieux. D’importants correctifs à déployer sans attendre sont effet disponibles pour certains équipements Cisco et pour le système de gestion de contenus Drupal.

Du côté de l’équipementier, il s’agit tout d’abord de remédier à la présence, dans le code du logiciel IOS XE, d’identifiantsdonnant accès au compte d’utilisateur par défaut, actif au premier démarrage de l’équipement. Il est doté du niveau de privilèges 15, le plus élevé. Les matériels dotés d’IOS XE 16.x sont concernés.

Vient ensuite une vulnérabilité affectantle sous-système de gestion de la qualité de service d’IOS et d’IOS XE : « en raison de limites incorrectes dans la vérification des paquets destinés au port UDP 18999 », il est possible de construire un paquet malicieux conduisant à un dépassement de mémoire tampon. Dès lors, l’exploitation réussie de la vulnérabilité pourrait permettre de forcer l’exécution de code à distance sur l’équipement affecté « avec des privilèges élevés ». A minima, elle pourrait aussi conduire à un déni de service.

Et il faut encore compter avec une troisièmevulnérabilité dont l’exploitation réussie peut avoir les mêmes conséquences que la précédente : elle concerne le service Smart Install, répondant sur le port TCP 4786. Toutes les versions d’IOS et d’IOS XE capables de faire fonctionner ce service sont concernées – à partir donc de la 12.2(52)SE.

Shodan du jour... 195 000 routeurs Cisco potentiellement affectés par la vulnérabilité d'exécution de code à distance via Smart Install exposés sur Internet. 4 353 en France (dont 2 209 sur réseau Free SAS). Gros weekend d'update ? https://t.co/MBjTu0Kleg pic.twitter.com/NF060A3Hpp

— Valery Marchive (@ValeryMarchive) March 29, 2018

La situation est loin d’être anodine. En fin de journée, ce 29 mars, on comptait près de 170 000 routeurs Cisco exposant leur service Smart Install sur Internet. Selon le moteur de recherche spécialisé Shodan, ils étaient 4 353 en France, dont plus de 2 200 sur réseau Free SAS, certains affichant des noms laissant à penser qu’ils sont impliqués dans la fourniture des services d’accès à Internet sur fibre optique de l’opérateur.

La bonne nouvelle, toutefois, est qu’il ne semble pas y avoir, pour l’instant, de démonstrateur d’exploitation de ces vulnérabilités. Et Cisco assure que ses équipes n’ont pas connaissance d’éventuelle utilisation malicieuse de celles-ci.

Et puis il y a donc Drupal, qui souffre d’une vulnérabilité critique, permettant l’exécution de code à distance. Elle concerneles versions 6, 7 et 8 du système de gestion de contenus – la première étant obsolète. Il est recommandé de mettre à jour au plus vite vers Drupal 7.58 ou Drupal 8.51. Et cela sans attendre. Ce qui n’est pas un vain conseil : les sites Web concernés sont potentiellement nombreux. Celui de Cambridge Analyticaseraitdu lot. Heureusement, là encore, aucun exploit n’a encore été rendu public.