Cette semaine, Cisco a publié des correctifs pour plus d’une douzaine de vulnérabilités affectant plusieurs produits, dont trois bogues critiques affectant son orchestrateur multisite ACI, son moteur de services d’application et son logiciel NX-OS.
Le plus grave de ces problèmes est une faille dans un point de terminaison d’API d’ACI Multi-Site Orchestrator (MSO), qui pourrait permettre à un attaquant distant de contourner l’authentification. La vulnérabilité est suivie comme CVE-2021-1388 et présente un score CVSS de 10.
En raison de la validation incorrecte des jetons, un attaquant pourrait envoyer des demandes spécialement conçues pour recevoir un jeton avec des privilèges de niveau administrateur qu’il pourrait ensuite utiliser pour s’authentifier auprès de l’API sur les appareils MSO affectés.
Selon Cisco, la version 3.0 du logiciel exécutant ACI MSO est vulnérable, mais uniquement si elle est déployée sur un moteur de services d’application (elle peut également être déployée en tant que VM sur un hyperviseur).
Cisco a également résolu deux bogues d’accès non autorisé dans Application Services Engine, à savoir CVE-2021-1393 et CVE-2021-1396, mais seul le premier a une cote de gravité critique (score CVSS 9,8). Un attaquant pourrait exploiter ces bogues pour obtenir un accès privilégié aux opérations au niveau de l’hôte, accéder aux informations du périphérique, modifier les configurations ou créer des fichiers de diagnostic.
En raison de contrôles d’accès insuffisants dans le réseau de données, un attaquant pourrait accéder à un service privilégié en exploitant CVE-2021-1393, ou pourrait accéder à une API spécifique lors de l’exploitation de CVE-2021-1396. Seule la version 1.1 de Application Services Engine est vulnérable et aucune solution de contournement n’existe pour ces bogues.
Également doté d’un score CVSS de 9,8, la troisième faille critique corrigée par Cisco cette semaine (CVE-2021-1361) affecte les commutateurs des gammes Nexus 3000 et Nexus 9000. Affectant le logiciel NX-OS, le problème pourrait être exploité à distance pour manipuler des fichiers arbitraires avec des privilèges root, sans authentification.
«Un exploit réussi pourrait permettre à l’attaquant de créer, supprimer ou écraser de manière arbitraire …
