Failles critiques chez Cisco, des millions de Switch vulnérables

Hits: 11

Il va falloir patcher vos équipements Cisco. L’équipementier vient de rendre disponible une série de correctifs s’attaquant à 34 failles dans ses produits qui affectent notamment IOS et IOS XE, ses logiciels réseaux. Une d’entre-elles semble particulièrement sérieuse.

La faille estampillée CVE-2018-0171 est présente dans Smart Install, un logiciel client maison qui permet de déployer rapidement des nouveaux switchs. De très nombreux routeurs et de switchs Cisco sont supportés par ce logiciel, ce qui vaut à la vulnérabilité le score de dangerosité de 9,8/10. Un attaquant distant peut l’exploiter afin d’exécuter du code ou provoquer un déni de service.

Selon Embedi, la société qui a découvert la vulnérabilité, des millions d’équipements connectés seraient exposés, notamment parce que Smart Install laisse ouvert par défaut le port TCP 4786. Un PoC (proof of concept) d’un code d’exploitation a été publié par l’éditeur de sécurité, preuve qu’il ne faut pas tarder à patcher.

Il est à noter qu’Embedi a découvert cette faille en mai 2017 et en a communiqué les détails à Cisco en septembre dernier… On rappellera que la firme américaine est accusée de jouer la montre en matière de correctifs. Un précédent correctif corrigeant une faille majeure dans ses firewalls (score CVSS de 10/10) était ainsi disponible 80 jours avant l’avertissement de Cisco.

ZDnet