Un attaquant efficace pourrait afficher des informations sensibles auxquelles même les administrateurs ne peuvent pas accéder.
La dernière faille du moteur Cisco Systems Identity Services Engine (ISE), qui pourrait exposer des informations sensibles à un attaquant, nécessite une rotation des informations d’identification ainsi que l’installation d’un correctif pour la corriger, explique un expert.
Cisco ISE est une plate-forme de contrôle d’accès au réseau qui applique la politique d’accès et gère les points de terminaison.
Il y a eu des failles plus critiques dans les produits Cisco, a reconnu Paddy Harrington, analyste principal chez Forrester Research, et celui-ci a besoin d’un acteur malveillant disposant de privilèges administratifs pour exécuter et obtenir un accès en lecture aux informations sensibles. « Cependant », a-t-il conseillé aux hauts responsables de la sécurité de l’information utilisant les serveurs Cisco ISE, « ne laissez pas ces choses traîner ».
Avant d’appliquer les correctifs, a-t-il déclaré, les administrateurs doivent :
- faites pivoter les informations d’identification ISE pour ceux qui disposent d’un accès existant et approuvé ;
- veiller à ce que seuls ceux qui ont besoin d’y accéder disposent d’informations d’identification ;
- réduire le nombre de périphériques pouvant accéder au serveur ISE ;
- patch dès qu’il est possible de mettre le serveur hors ligne.
Dans son avis aux clients, Cisco indique qu’une vulnérabilité (CVE-2026-20029) dans les fonctionnalités de licence d’ISE et de Cisco ISE Passive Identity Connector (ISE-PIC) pourrait permettre à un attaquant distant authentifié disposant de privilèges administratifs d’accéder à des informations sensibles. On ne sait pas pourquoi cela s’appelle une vulnérabilité de fonctionnalité de licence. Cisco n’a pas répondu dans les délais lorsqu’on lui a demandé une explication.
L’avis, qui décrit le problème comme étant de criticité moyenne, avec un score CVSS de 4,9, indique que la vulnérabilité est due à une analyse incorrecte du XML traité par l’interface de gestion Web de Cisco ISE et Cisco ISE-PIC.
Johannes Ullrich, doyen de la recherche à l’Institut SANS, a déclaré : « Il s’agit très probablement d’une vulnérabilité d’entité externe XML. » Les entités externes, a-t-il expliqué, sont une fonctionnalité XML qui demande à l’analyseur soit de lire des fichiers locaux, soit d’accéder à des URL externes. Dans ce cas, un attaquant pourrait intégrer une entité externe dans le fichier de licence, demandant à l’analyseur XML de lire un fichier confidentiel et de l’inclure dans la réponse. Il s’agit d’une vulnérabilité courante dans les analyseurs XML, a-t-il déclaré, généralement atténuée par la désactivation de l’analyse des entités externes.
Un attaquant pourrait obtenir un accès en lecture à des fichiers confidentiels tels que les fichiers de configuration, a-t-il ajouté, et éventuellement aux informations d’identification des utilisateurs. Ullrich a également déclaré qu’un administrateur ISE peut avoir accès à une grande partie des informations, mais qu’il ne devrait pas avoir accès aux informations d’identification des utilisateurs.
L’avis de Cisco indique qu’un attaquant pourrait exploiter cette vulnérabilité en téléchargeant un fichier malveillant dans l’application : « Un exploit réussi pourrait permettre à l’attaquant de lire des fichiers arbitraires du système d’exploitation sous-jacent qui pourraient inclure des données sensibles qui autrement seraient inaccessibles, même aux administrateurs. Pour exploiter cette vulnérabilité, l’attaquant doit disposer d’informations d’identification administratives valides. «
Cisco a déclaré qu’un code d’exploitation de preuve de concept était disponible pour cette vulnérabilité, mais jusqu’à présent, la société n’a connaissance d’aucune utilisation malveillante de la faille.
De nos jours, les informations d’identification des administrateurs ne sont pas difficiles à obtenir, a noté Harrington. Le « sale secret dont peu de gens veulent parler est que, dans les opérations informatiques et de sécurité, de nombreux systèmes se retrouvent avec des informations d’identification par défaut ». Cela est particulièrement courant, a-t-il expliqué, avec les appareils protégés par un pare-feu, tels que les serveurs de contrôle d’accès au réseau, car les administrateurs pensent que, parce qu’ils sont à l’intérieur du réseau, ils ne peuvent pas être touchés par des pirates externes. Mais de nombreuses informations d’identification peuvent être récupérées lors de la compromission d’applications dans lesquelles les administrateurs Cisco peuvent avoir stocké des mots de passe.
Contenu connexe : Cisco met en garde contre trois vulnérabilités critiques d’ISE
Par coïncidence, les chercheurs de SCORadar ont publié aujourd’hui une analyse des vols de données en 2025. Ils notent entre autres que le vol d’identifiants a atteint un nouveau sommet l’année dernière. Au total, 388 millions d’identifiants ont été volés sur les dix plateformes les plus touchées, dont Facebook, Google et Roblox.
