Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonCisco corrige des vulnérabilités exposant les commutateurs et les pare-feu aux attaques DoS
Cisco a publié des correctifs pour trois vulnérabilités de haute gravité dans les logiciels NX-OS et FXOS qui pourraient conduire à des conditions de déni de service (DoS).
Par
Tableau à feuilles mobiles
Cisco a annoncé mercredi des correctifs pour six vulnérabilités de ses produits, dont trois bogues de haute gravité dans les logiciels NX-OS et FXOS qui pourraient être exploités pour provoquer un déni de service (DoS).
Impactant le logiciel FXOS des appliances de sécurité Firepower 4100 et Firepower 9300 et des interconnexions de matrice de la série UCS 6300, la plus grave de ces failles est CVE-2023-20200, décrite comme une mauvaise gestion de requêtes SNMP spécifiques.
Le problème permet à un attaquant distant authentifié d'envoyer des requêtes SNMP contrefaites à un périphérique affecté et de le recharger, ce qui entraîne une condition DoS.
«Cette vulnérabilité affecte toutes les versions SNMP prises en charge. Pour exploiter cette vulnérabilité via SNMPv2c ou une version antérieure, un attaquant doit connaître la chaîne de communauté SNMP configurée sur un périphérique concerné. Pour exploiter cette vulnérabilité via SNMPv3, l'attaquant doit disposer d'informations d'identification valides pour un utilisateur SNMP configuré sur le périphérique concerné », explique Cisco.
La deuxième faille de haute gravité, CVE-2023-20169, affecte le logiciel NX-OS pour les commutateurs des séries Nexus 3000 et Nexus 9000 en mode NX-OS autonome, et est décrite comme une validation d'entrée insuffisante dans le système intermédiaire à intermédiaire. Protocole système (IS-IS).
Le bogue permet à un attaquant adjacent de couche 2 non authentifié d'envoyer des paquets IS-IS contrefaits à un appareil affecté, provoquant le redémarrage du processus IS-IS, ce qui pourrait entraîner le rechargement de l'appareil, conduisant à une condition DoS.
Cisco a également corrigé une vulnérabilité de haute gravité dans l'authentification à distance TACACS+ et RADIUS pour le logiciel NX-OS. Suivi comme CVE-2023-20168, le bug est décrit comme un problème de validation d'entrée incorrecte qui permet à un attaquant local non authentifié de saisir une chaîne contrefaite lors de la connexion et de provoquer une condition DoS.
La faille affecte plusieurs commutateurs de la série Nexus, les commutateurs de la série MDS 9000 et le bord virtuel Nexus 1000 pour VMware vSphere, et ne peut être exploitée que via Telnet ou via la connexion de gestion de la console.
Les trois vulnérabilités ont été résolues dans le cadre de l'ensemble d'avis de sécurité semestriels d'août 2023 de Cisco, qui comprend également des correctifs pour deux bogues de gravité moyenne conduisant à des écrasements de fichiers.
Mercredi, Cisco a également annoncé des correctifs pour un problème de gravité moyenne dans l'APIC (Application Policy Infrastructure Controller), qui « pourraient permettre à un attaquant distant authentifié de lire, modifier ou supprimer des politiques non locataires créées par des utilisateurs associés à un autre système. domaine de sécurité sur un système affecté ».
Le géant de la technologie affirme qu’il n’a connaissance d’aucune de ces vulnérabilités exploitées dans des attaques malveillantes. Des informations supplémentaires sont disponibles sur la page de sécurité des produits Cisco.
En rapport:Cisco corrige des vulnérabilités de haute gravité dans les applications d'entreprise
En rapport:Une vulnérabilité critique du SD-WAN de Cisco entraîne des fuites d'informations
En rapport:Une vulnérabilité dans les commutateurs Cisco Enterprise permet aux attaquants de modifier le trafic chiffré
Ionut Arghire est correspondant international de SecurityWeek.
Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des chroniques perspicaces d'experts du secteur.
Rejoignez des experts en sécurité pour discuter du potentiel inexploité de ZTNA en matière de réduction des cyber-risques et de responsabilisation de l'entreprise.
Rejoignez Microsoft et Finite State pour un webinaire qui présentera une nouvelle stratégie de sécurisation de la chaîne d'approvisionnement logicielle.
À mesure que les règles de divulgation des cyberincidents de la SEC entreront en vigueur, les organisations seront obligées d’envisager sérieusement de donner une place aux responsables de la sécurité à la table. (Marc Solomon)