Si l’authentification du rayon est activée, la vulnérabilité pourrait permettre à l’accès à l’attaquant distant aux périphériques de sécurité.
Les administrateurs utilisant le logiciel Cisco Systems Secure Firewall Management Center (FMC) pour l’authentification de connexion réseau sont avertis de corriger rapidement une vulnérabilité majeure qui pourrait permettre à un attaquant distant de violer la sécurité.
À risque sont des déploiements configurés pour l’authentification du rayon pour l’interface de gestion basée sur le Web, la gestion SSH ou les deux, a déclaré Cisco dans son alerte. Cette vulnérabilité affecte uniquement les libérations de 7.0.7 et 7.7.0 du logiciel de gestion du pare-feu.
La vulnérabilité est due à un manque de gestion appropriée de la saisie des utilisateurs pendant la phase d’authentification, a-t-il déclaré. Un attaquant peut exploiter cette vulnérabilité en envoyant une entrée fabriquée lors de la saisie des informations d’identification qui seront authentifiées au serveur RADIUS configuré. Un exploit réussi pourrait permettre à l’attaquant d’exécuter des commandes à un niveau élevé.
Dans son avertissement, Cisco a déclaré que la faille pourrait permettre à un attaquant distant non authentifié d’injecter des commandes de shell arbitraires qui sont exécutées par l’appareil.
Aucune solution de contournement disponible
Étant donné qu’un serveur RADIUS centralise l’authentification, l’autorisation et la comptabilité, cette vulnérabilité a un score CVSS de 10.
La seule atténuation, dit Cisco, est que les administrateurs utilisent un autre type d’authentification, tels que les comptes d’utilisateurs locaux, l’authentification LDAP externe ou SAML Single Sign-On (SSO).
Robert Beggs, chef de la société canadienne de réponse aux incidents, Défense numérique, a noté qu’en général, l’utilisation du rayon pour l’authentification par les administrateurs a diminué. En fait, a-t-il dit, la configuration de FMC sécurisée pour la gestion du rayon ou du SSH est rare.
« Cependant », a-t-il ajouté, « Si les utilisateurs (Cisco Secure FMC) ont configuré le rayon, il peut être difficile d’atténuer la vulnérabilité car la fonctionnalité du rayon est probablement nécessaire dans un but spécifique sur le réseau. »
Les utilisateurs de Cisco doivent d’abord déterminer s’ils ont une version vulnérable par inspection manuelle, ou en utilisant l’outil Cisco, a-t-il déclaré dans un e-mail. Si possible, ils doivent immédiatement désactiver la fonctionnalité du rayon. Il a déclaré: « L’étape la plus importante est de mettre à jour vers une version actuelle du logiciel qui n’est pas vulnérable à cette attaque spécifique. »
Pas la première grande vulne de FMC
Cisco Secure FMC (anciennement Firepower Management Center) gère des solutions de sécurité Cisco Network Cisco. Il fournit une gestion complète et unifiée sur les pare-feu, le contrôle des applications, la prévention des intrusions, le filtrage de l’URL et la protection avancée des logiciels malveillants. Il supervise un certain nombre de produits Cisco. Cependant, le fournisseur a confirmé que cette vulnérabilité n’affecte pas le logiciel Cisco Secco Secy Firewall Adaptive Security Appliance (ASA) ou le logiciel de défense de menace de pare-feu CISCO (FTD).
Secure FMC s’intègre également à la plate-forme vSphere de VMware, et les hyperviseurs VMware ESXi et Microsoft Hyper-V, et, selon la version, peuvent agir comme un centre de gestion pour les plates-formes cloud, notamment Amazon AWS, Google GCP, Microsoft Azure, Oracle OCI et sur les clines privées sur les premiers.
Ce n’est pas la première vulnérabilité à affecter Cisco Secure FMC Release 7.0.7, a souligné Beggs. Rapports antérieurs d’autres problèmes de forte gravité, notamment certains provoquant un déni de service, avec des scores CVSS allant de 7,7 à 8,6. Lorsque ces vulnérabilités ont été identifiées, Cisco a recommandé que les utilisateurs passent vers des versions plus récentes, a-t-il déclaré, ce qui a fixé ces vulnérabilités.
