Cisco a corrigé une vulnérabilité de gravité maximale dans son orchestrateur multisite (MSO) d’infrastructure centrée sur l’application (ACI) qui pourrait permettre à un attaquant distant non authentifié de contourner l’authentification sur des périphériques vulnérables.
« Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête spécialement conçue à l’API concernée », a déclaré la société mentionné dans un avis publié hier. «Un exploit réussi pourrait permettre à l’attaquant de recevoir un jeton avec des privilèges de niveau administrateur qui pourrait être utilisé pour s’authentifier auprès de l’API sur les périphériques MSO affectés et gérés Cisco Application Policy Infrastructure Controller (APIC).»
Le bogue, suivi comme CVE-2021-1388, se classe 10 (sur 10) sur le système de notation de vulnérabilité CVSS et provient d’une validation de jeton incorrecte dans un point de terminaison API de Cisco ACI MSO a installé le moteur de services d’application. Il affecte les versions ACI MSO exécutant une version 3.0 du logiciel.
L’orchestrateur multisite ACI permet aux clients de surveiller et de gérer les politiques de mise en réseau d’accès aux applications sur les périphériques Cisco APIC.
Séparément, l’entreprise a également patché multiples failles dans Cisco Application Services Engine (CVE-2021-1393 et CVE-2021-1396, score CVSS 9,8) qui pourraient permettre à un attaquant distant d’accéder à un service privilégié ou à des API spécifiques, ce qui lui permettrait d’exécuter des conteneurs ou d’appeler au niveau de l’hôte opérations et apprenez «des informations spécifiques aux périphériques, créez des fichiers de support technique dans un volume isolé et apportez des modifications de configuration limitées».
Les deux failles étaient le résultat de contrôles d’accès insuffisants pour une API fonctionnant dans le réseau de données, a noté Cisco.
Le responsable des réseaux a déclaré que les trois faiblesses susmentionnées avaient été découvertes lors des tests de sécurité interne, mais a ajouté qu’il n’avait détecté aucune tentative malveillante exploitant les vulnérabilités dans la nature.
Enfin, Cisco a corrigé une vulnérabilité (CVE-2021-1361, score CVSS 9,8) dans la mise en œuvre d’un service de gestion de fichiers interne pour les commutateurs Cisco Nexus 3000 et Cisco Nexus 9000 exécutant NX-OS, le système d’exploitation réseau de l’entreprise utilisé dans ses commutateurs Ethernet de marque Nexus.
Cela pourrait permettre à un acteur malveillant de créer, supprimer ou écraser des fichiers arbitraires avec des privilèges root sur l’appareil, a averti la société, notamment en permettant à l’attaquant d’ajouter un compte utilisateur à l’insu de l’administrateur de l’appareil.
Cisco a déclaré que les commutateurs Nexus 3000 et Nexus 9000 exécutant le logiciel Cisco NX-OS version 9.3 (5) ou version 9.3 (6) sont vulnérables par défaut.
« Cette vulnérabilité existe car le port TCP 9075 n’est pas correctement configuré pour écouter et répondre aux demandes de connexion externe », Cisco esquissé dans l’adversaire. « Un attaquant pourrait exploiter cette vulnérabilité en envoyant des paquets TCP spécialement conçus à une adresse IP qui est configurée sur une interface locale sur le port TCP 9075. »
Les correctifs surviennent des semaines après que Cisco ait rectifié jusqu’à 44 failles dans ses routeurs Small Business qui pourraient potentiellement permettre à un attaquant distant non authentifié d’exécuter du code arbitraire en tant qu’utilisateur root et même de provoquer une condition de déni de service.
