Cisco divulgue une vulnérabilité critique et généralisée, accompagnée de son PoC

Cisco vient de révéler une vulnérabilité annoncée comme hautement critique, qui pourrait permettre à un attaquant d’obtenir un accès à la racine même du système d’exploitation de la victime potentielle.

Dans un avis de sécurité publié mercredi, Cisco fait état d’une vulnérabilité par injection de commande, répertoriée sous le nom de CVE-2024-20295, qui affecte le CLI du contrôleur de gestion intégré (IMC) des équipements Cisco. Le CLI est utilisé pour configurer, surveiller et entretenir les appareils de l’équipementier réseau historique, tandis que l’IMC est un contrôleur de gestion de carte de base qui aide les entreprises à gérer les serveurs. Cisco a remercié le chercheur en sécurité James Muller d’avoir signalé cette vulnérabilité.

Cisco a indiqué dans son avis que la vulnérabilité CVE-2024-20295, qui a reçu un score CVSS de 8,8, pourrait permettre à un attaquant local authentifié d’élever ses privilèges au niveau de la racine même de l’équipement. Cisco a averti qu’une preuve de concept (PoC) est disponible publiquement, mais a ajouté que l’équipe de réponse aux incidents de sécurité des produits Cisco n’a, pour l’heure, « pas connaissance d’une utilisation malveillante de la vulnérabilité décrite dans cet avis ».

Les activités malveillantes récentes montrent que les acteurs de la menace sont prompts à exploiter une vulnérabilité après la mise à disposition d’un PoC. Par exemple, en février, des attaquants ont tenté d’exploiter une vulnérabilité critique du serveur web de Fortinet FortiNAC, quelques heures seulement après la publication d’un PoC sur GitHub. S’il semble que ce ne soit pas encore le cas pour la faille de Cisco, il est conseillé d’agir sans tarder.

Les produits concernés sont les systèmes de calcul en réseau d’entreprise de la série 5000, le Catalyst 8300 Series Edge uCPE, les serveurs en rack UCS C-Series en mode autonome et les serveurs UCS E-Series. En outre, « les appareils Cisco basés sur une version préconfigurée d’un serveur Cisco UCS C-Series sont également concernés s’ils exposent l’accès à la CLI Cisco IMC », indique l’avis.

Bien que les attaquants puissent avoir accès à des informations sensibles, un certain nombre de variables rendent la tâche plus difficile. Par exemple, un attaquant doit être authentifié et en mode local. Cisco a également souligné qu’un attaquant doit avoir des privilèges de lecture seule ou des privilèges plus élevés sur un appareil affecté afin de pouvoir agir. Pour exploiter la faille, un pirate doit également soumettre une commande CLI élaborée.

Cisco a publié des mises à jour logicielles pour remédier à la vulnérabilité et a invité les utilisateurs à passer aux versions corrigées. Toutefois, le fournisseur n’a proposé aucune solution de contournement ; la rustine s’impose donc.

Les produits Cisco se sont révélés être des cibles populaires pour les acteurs de la menace au cours de l’année écoulée. En septembre, des attaquants ont exploité deux vulnérabilités zero-day distinctes de Cisco ; toutes deux concernaient des logiciels utilisés pour les VPN. La première était une vulnérabilité d’écriture hors limites qui pouvait permettre à un attaquant de prendre le contrôle total du produit Group Encrypted Transport VPN de l’éditeur. Dans l’autre cas, Cisco a révélé que le groupe de ransomware Akira a exploité une faille de type « zero-day » qui pourrait permettre aux attaquants d’accéder à distance aux fonctions VPN dans les logiciels Adaptive Security Appliance et Firepower Threat Defense de Cisco.