Cette faille, facilement exploitable, pourrait donner à un acteur malveillant non authentifié des privilèges d’administrateur de site, même au-delà des limites des locataires.
Une vulnérabilité critique dans la version sur site de la plateforme de sécurité Cisco Secure Workload pourrait permettre à un acteur malveillant d’obtenir les privilèges d’un administrateur de site, lui permettant ainsi de compromettre les points de terminaison et de lire ou modifier les données de configuration.
« C’est le pire des cas », a-t-il ajouté. « En raison de l’importance vitale de cette plate-forme pour les grandes entreprises, les acteurs malveillants rechercheront de manière agressive les points de terminaison d’API non corrigés à exploiter. »
L’urgence de s’attaquer à ce problème immédiatement a été reprise par Fred Chagnon, directeur de recherche principal à Info-Tech Research Group. Un attaquant pourrait modifier ou démanteler les politiques de sécurité d’une entreprise, a-t-il souligné, ouvrant ainsi des portes délibérément fermées dans l’environnement.
« Le rayon de l’explosion pourrait être important »
« Étant donné que cet accès fonctionne au niveau de l’administrateur du site et traverse les frontières des locataires », a-t-il ajouté, « le rayon d’explosion dans un déploiement multi-tenant pourrait être important, exposant ou compromettant potentiellement les charges de travail et les données appartenant à plusieurs unités commerciales ou clients. »
Cisco a attribué à cette faille (CVE-2026-20223) un score CVSS maximum de 10,0 car elle permet à un attaquant distant non authentifié de contourner complètement l’authentification. En envoyant une requête HTTP contrefaite à un point de terminaison d’API REST interne, l’acteur malveillant obtient instantanément les privilèges d’administrateur du site.
Dans son avis, Cisco affirme que cette faille est due à une validation et une authentification insuffisantes lors de l’accès aux points de terminaison de l’API REST.
Il n’existe aucune solution de contournement ; la seule solution consiste à installer des mises à jour logicielles pour remédier à cette vulnérabilité, ce que Cisco « recommande fortement ». Les systèmes exécutant la version 4.0 doivent être mis à niveau vers la version 4.0.3.17. Ceux qui disposent de la version 3.10 doivent passer à la version 3.10.8.3, tandis que ceux qui utilisent encore la version 3.9 et antérieure doivent migrer vers une version plus récente et corrigée.
La vulnérabilité affecte Secure Workload Cluster Software dans les déploiements SaaS et sur site, quelle que soit la configuration de l’appareil, mais affecte uniquement les API REST internes et n’a pas d’impact sur l’interface de gestion Web. Cependant, seuls ceux qui utilisent la version sur site doivent agir ; Cisco a déjà corrigé le produit SaaS.
Mercredi, Cisco n’était pas au courant d’une utilisation malveillante de cette vulnérabilité.
« Traitez-le comme une menace active »
La bonne nouvelle, a déclaré Chagnon, est que la propre équipe de sécurité de Cisco a découvert et divulgué cette vulnérabilité, publiant un correctif en même temps que l’avis. Et, a-t-il ajouté, il n’y a aucun signe connu d’exploitation dans la nature, et aucune divulgation publique n’a précédé l’annonce de Cisco.
Bien que la version SaaS de la plate-forme ait déjà été corrigée par Cisco, a-t-il déclaré, les administrateurs exécutant Cisco Secure Workload sur site ne devraient pas considérer cela comme quelque chose à corriger lors du cycle de mise à jour de routine. « Étant donné la nature de cette vulnérabilité, un score CVSS parfait, aucune authentification requise et aucune solution de contournement disponible, les organisations devraient la traiter comme une menace active », a-t-il déclaré.
Ce n’est pas le seul bug critique auquel les administrateurs Cisco ont été confrontés récemment, mais c’est le plus grave en termes de gravité. En avril, les administrateurs ont dû remplacer un certificat de fournisseur d’identité dans Webex Control Hub dans le cadre d’un correctif visant à corriger une vulnérabilité évaluée à 9,8 en termes de gravité. En janvier, des correctifs ont été publiés pour corriger une vulnérabilité critique d’exécution de code à distance dans Unified Communications Manager, Unity Connection et Webex Calling Dedicated Instance. Et en décembre, Cisco a averti qu’un groupe de pirates informatiques lié à la Chine exploitait activement une vulnérabilité Zero Day dans ses appliances Secure Email.
