Cisco a confirmé avoir corrigé une faille très grave qui affectait son environnement d’hébergement d’applications IOx.
Cisco IOx est un environnement d’application qui permet un déploiement cohérent d’applications indépendantes de l’infrastructure réseau et des outils Docker pour le développement. Il est utilisé par un large éventail d’entreprises, de la fabrication à l’énergie en passant par le secteur public.
La faille, identifiée comme CVE-2023-20076, a permis aux acteurs de la menace d’obtenir une persistance sur le système d’exploitation, obtenant ainsi la capacité d’exécuter des commandes à distance.
Qui est affecté?
« Un attaquant pourrait exploiter cette vulnérabilité en déployant et en activant une application dans l’environnement d’hébergement d’applications Cisco IOx avec un fichier de charge utile d’activation spécialement conçu », a déclaré Cisco. (s’ouvre dans un nouvel onglet) dans son avis de sécurité.
Les utilisateurs exécutant IOS XE sans prise en charge native de Docker sont concernés, ainsi que ceux exécutant des routeurs ISR industriels de la série 800, des modules de calcul CGR1000, des passerelles de calcul industrielles IC3000, des routeurs industriels IR510 WPAN et des points de terminaison de point d’accès Cisco Catalyst (COS-AP). (s’ouvre dans un nouvel onglet).
Les commutateurs de la série Catalyst 9000, les logiciels IOS XR et NX-OS et les produits Meraki ne sont pas affectés par la faille, a ajouté la société.
La mise en garde avec cette vulnérabilité est que les acteurs de la menace doivent déjà être authentifiés en tant qu’administrateur sur les systèmes vulnérables.
Pourtant, les chercheurs de Trellix, qui ont découvert la faille en premier, ont déclaré que les escrocs pourraient facilement associer cette vulnérabilité à d’autres, dans leurs campagnes malveillantes. L’authentification peut être obtenue avec les identifiants de connexion par défaut (de nombreux utilisateurs ne les changent jamais), ainsi que par hameçonnage et ingénierie sociale.
Après authentification, CVE-2023-20076 peut être abusé pour « un accès illimité, permettant à un code malveillant de se cacher dans le système et de persister lors des redémarrages et des mises à niveau du micrologiciel ».
« Le contournement de cette mesure de sécurité signifie que si un attaquant exploite cette vulnérabilité, le package malveillant continuera de fonctionner jusqu’à ce que l’appareil soit réinitialisé en usine ou jusqu’à ce qu’il soit supprimé manuellement. »
La bonne nouvelle est que jusqu’à présent, il n’y a aucune preuve que la faille soit exploitée dans la nature, mais si vous utilisez cette solution, assurez-vous qu’elle est mise à jour avec la dernière version.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)