Le géant américain des réseaux Cisco a publié un correctif qui empêche les pirates de voler à distance les informations d’identification des administrateurs d’Umbrella Virtual Appliance (VA).
Selon un avis de sécurité publié par la firme, la faille a été découverte par Pinnacol Assurance dans le mécanisme d’authentification SSH à base de clé.
La faille, désormais identifiée comme CVE-2022-20773, peut être exploitée en effectuant une attaque de l’homme du milieu sur une connexion SSH à Umbrella VA.
« Un exploit réussi pourrait permettre à l’attaquant d’apprendre les informations d’identification de l’administrateur, de modifier les configurations ou de recharger la VA », a déclaré Cisco.
Pas d’exemples concrets
La faille est présente dans Cisco Umbrella VA pour Hyper-V et VMWare ESXi sur les versions antérieures à 3.3.2. Il n’y a pas de solutions de contournement ou d’atténuation, donc la seule façon de résoudre le problème est d’installer le correctif.
Heureusement, Cisco n’a trouvé aucune preuve que quiconque abuse de la faille dans la nature. La société a également déclaré que le service SSH n’est pas activé par défaut sur les VA Umbrella sur site, ce qui réduit les risques d’abus de la faille.
Ceux qui ne savent pas si SSH est activé dans leurs VA doivent se connecter à la console de l’hyperviseur, accéder au mode de configuration (CTRL+B) et exécuter la configuration via la commande show. Si SSH est effectivement activé, la sortie de la commande doit inclure « Accès SSH : activé » à la fin.
Cisco Umbrella est un service de sécurité fourni par le cloud, protégeant plus de 24 000 clients contre une grande variété de logiciels malveillants, de ransomwares et d’attaques de phishing.
À la fin de l’année dernière, la société a corrigé deux failles très graves dans les terminaux de réseau optique des commutateurs de la série Catalyst PON, ce qui aurait permis un accès root non autorisé aux points de terminaison.
Les deux vulnérabilités sont suivies en tant que CVE-2021-34795 et CVE-2021-40113, la première étant décrite comme un « identifiant de débogage involontaire ».
Celui qui détenait les informations d’identification cachées pouvait obtenir un accès root aux commutateurs de réseau optique passifs, mais pour ce faire, l’appareil devait avoir la prise en charge Telnet activée, ce qui est généralement désactivé par défaut.