Les journaux dans la mémoire flash du point d’accès sans fil augmentent de 5 Mo par jour sur certains appareils IOS XE jusqu’à épuisement de l’espace.
Les administrateurs Cisco s’efforcent de corriger une vulnérabilité critique de dépassement de mémoire flash dans plus de 200 modèles de points d’accès sans fil (AP) basés sur IOS XE de Cisco Systems, causée par une récente mise à jour logicielle défectueuse.
Si le problème n’est pas corrigé rapidement, la mémoire du point d’accès sera tellement inondée que les nouvelles mises à jour logicielles seront bloquées et le point d’accès rendu non sécurisé, voire même bloqué.
La mise à jour problématique de la bibliothèque entraîne une croissance d’un fichier journal spécifique dans la mémoire flash des points d’accès concernés d’environ 5 Mo par jour. Au fil du temps, a déclaré Cisco dans un avis cette semaine, cela pourrait consommer « une grande partie » de l’espace mémoire disponible.
« Plus un point d’accès exécute le logiciel concerné longtemps, plus la probabilité qu’un téléchargement de logiciel échoue en raison d’un espace insuffisant », indique l’avis.
L’analyste Rob Enderle du groupe Enderle a déclaré que les « journaux de bogues » sont un trope courant dans les réseaux. Mais, a-t-il ajouté, « ce cas particulier est dangereux car il cible les limitations physiques de la mémoire flash sur du matériel notoirement difficile d’accès une fois qu’il est bloqué ou entre dans une boucle de démarrage. Dans le monde des réseaux, il s’agit d’un événement à fort impact et de rareté moyenne ».
Il a expliqué : « Ce qui rend cela unique, c’est le Catch-22 qu’il crée. Pour corriger le bug, vous devez mettre à jour le logiciel. Cependant, le bug lui-même empêche l’appareil de disposer de suffisamment d’espace pour télécharger le correctif. Si un administrateur attend trop longtemps, l’appareil peut nécessiter une intervention manuelle et physique ou rester bloqué de manière permanente dans une boucle de démarrage. «
Johannes Ullrich, doyen de la recherche à l’Institut SANS, a qualifié ce problème particulier de rare, bien qu’il ait reconnu que l’espace mémoire flash dans les appareils IoT comme les points d’accès est limité et peut se remplir de temps en temps.
« Mais », a-t-il ajouté, « il y a un problème plus important : un programme de gestion des vulnérabilités (fournisseur) compétent doit toujours inclure la vérification que le correctif a bien été appliqué comme prévu. Il existe de nombreuses raisons pour lesquelles un correctif peut ne pas être appliqué correctement, et ce n’est qu’une des raisons pour lesquelles un correctif peut ne pas s’appliquer. »
Kellman Meghu, CTO de la société de réponse aux incidents DeepCove Cybersecurity, a déclaré que le débordement de la mémoire d’un appareil fixe en raison d’un bug « m’aurait plutôt ennuyé par ce fournisseur. C’est très rare d’après mon expérience, et c’était un problème il y a longtemps lorsque les coûts de stockage étaient un facteur. Je m’attendrais à ce que mon fournisseur soit capable de nettoyer et de gérer le stockage des appareils fixes. Si cet appareil est pris en charge, il s’agirait d’une RMA (autorisation de retour de marchandise) ou d’un problème de résolution, et les attentes (pour l’action du fournisseur) seraient soyez tout de suite/proactif.
(Contenu associé : Faille Cisco Webex SSO)
Sont concernés les points d’accès exécutant les versions IOS XE 17.12.4, 17.12.5, 17.12.6 et 17.12.6a. Il s’agit notamment des points d’accès Cisco Catalyst 9130AX, ainsi que des modèles 9130AX avec une antenne de stade, des points d’accès Catalyst 91361, 91621, 9163E, 91641, 9166D1 et IW9167, ainsi que des points d’accès extérieurs Wi-Fi 6,
Les administrateurs peuvent résoudre le problème de deux manières : Téléchargez un outil Cisco appelé WLANPoller, qui automatise l’exécution d’un correctif sur plusieurs points d’accès, ou utilisez manuellement le afficher le démarrage sur chaque périphérique pour examiner la partition de démarrage et voir si elle dispose de suffisamment d’espace pour une mise à niveau. De plus amples détails sur les actions nécessaires figurent dans l’avis Cisco.
Cisco indique qu’une vérification préalable obligatoire de l’état d’un point d’accès doit être effectuée aussi près que possible de la fenêtre de maintenance planifiée. Mais comme le fichier journal concerné s’agrandit quotidiennement, a déclaré Enderle, « vous ne voulez certainement pas attendre une panne (AP) ».
La réparation manuelle prendra probablement 5 à 10 minutes de travail actif par point d’accès, a-t-il prévenu, plus 15 à 20 minutes supplémentaires pour s’assurer que le correctif prendrait si le point d’accès a de la place pour la mise à niveau. Mais si le point d’accès a des problèmes d’espace, le temps par appareil peut atteindre environ 20 à 45 minutes.
Et si le point d’accès tombe en panne, la réparation prendrait une à deux heures, a-t-il ajouté, et nécessiterait un accès physique à l’appareil.
L’utilisation de WLANPoller rendra le processus plus rapide, a-t-il ajouté.
Enderle a déclaré que si un administrateur trouve un point d’accès dont la mémoire flash est déjà trop pleine pour être mise à niveau, un redémarrage efface parfois les tampons temporaires ou autorise une petite fenêtre pour un transfert manuel. Cependant, avec ce bug de journal spécifique, un redémarrage peut ne pas suffire si le fichier est persistant. Les administrateurs doivent contacter Cisco pour obtenir le script de nettoyage d’urgence avant de tenter une diffusion massive, a-t-il déclaré.
