Cisco a publié des mises à jour de sécurité pour corriger une vulnérabilité de Cisco Emergency Responder (CER) qui permettait aux attaquants de se connecter à des systèmes non corrigés à l’aide d’informations d’identification codées en dur.
CER aide les organisations à répondre efficacement aux urgences en permettant un suivi précis de la localisation des téléphones IP, permettant ainsi d’acheminer les appels d’urgence vers le point de réponse de la sécurité publique (PSAP) approprié.
Suivie comme CVE-2023-20101, la faille de sécurité permet à des attaquants non authentifiés d’accéder à un appareil ciblé à l’aide du compte root, qui disposait d’informations d’identification statiques par défaut qui ne pouvaient pas être modifiées ou supprimées.
« Cette vulnérabilité est due à la présence d’informations d’identification statiques pour le compte root qui sont généralement réservées à une utilisation pendant le développement. » Cisco a expliqué dans un avis publié aujourd’hui.
« Un attaquant pourrait exploiter cette vulnérabilité en utilisant le compte pour se connecter à un système affecté. Un exploit réussi pourrait permettre à l’attaquant de se connecter au système affecté et d’exécuter des commandes arbitraires en tant qu’utilisateur root. »
La société affirme que la vulnérabilité critique n’affecte que la version 12.5(1)SU4 de Cisco Emergency Responder, comme indiqué dans le tableau ci-dessous.
| Libération d’URCE | Version vulnérable | Version fixe |
|---|---|---|
| 11.5(1) et versions antérieures | Pas vulnérable | Pas vulnérable |
| 12.5(1) | 12.5(1)SU4 | 12.5(1)SU5 ciscocm.CSCwh34565_PRIVILEGED_ACCESS_DISABLE.k4.cop.sha512 |
| 14 | Pas vulnérable | Pas vulnérable |
Cisco dit que identifiants codés en dur une faiblesse qui permet aux attaquants de contourner l’authentification a été découverte lors de tests de sécurité internes.
Son équipe de réponse aux incidents de sécurité des produits (PSIRT) n’a découvert aucune information sur les divulgations publiques ou toute exploitation malveillante liée à la vulnérabilité CVE-2023-20101.
Il n’existe aucune solution de contournement pour atténuer temporairement cette faille de sécurité, il est donc conseillé aux administrateurs de mettre à jour les installations vulnérables dès que possible.
La semaine dernière, Cisco a exhorté ses clients à corriger une vulnérabilité zero-day (CVE-2023-20109) ciblée par des attaquants sauvages, affectant les appareils exécutant les logiciels IOS et IOS XE.
Plus tôt ce mois-ci, la société a émis une alerte concernant un autre jour zéro (CVE-2023-20269) dans son Cisco Adaptive Security Appliance (ASA) et Cisco Firepower Threat Defense (FTD), activement exploités par des gangs de ransomwares pour pirater les réseaux d’entreprise.
Les agences d’application de la loi et de cybersécurité américaines et japonaises ont également mis en garde contre les pirates informatiques chinois BlackTech qui détournent les appareils réseau pour un accès initial aux réseaux d’entreprise.
