Failles de sécurité critiques Cisco UCS à corriger sans attendre

le 16/04/2020, par Michael Cooney, IDG NS (adapté par Jean Elyan), Infrastructure, 660 mots

L'équipementier de San José a publié 17 avis de sécurité en rapport avec des vulnérabilités d'authentification affectant ses serveurs Unified Computing System (Cisco UCS).

Failles de sécurité critiques Cisco UCS à corriger sans attendre

Cisco a publié un ensemble de 17 avis de sécurité critiques concernant des vulnérabilités d'authentification affectant ses serveurs UCS. Ces vulnérabilités pourraient permettre à des attaquants de s'introduire dans les systèmes ou de provoquer des dénis de service. « Les problèmes concernent plus particulièrement les systèmes UCS Director et Express de Cisco, qui permettent aux clients de construire des systèmes de cloud privé et de prendre en charge des processus d'approvisionnement et d'orchestration automatisés afin d'optimiser et de simplifier la fourniture des ressources de datacenters », comme l'a déclaré l'entreprise. La plupart des problèmes résultent d'une faiblesse de l'API REST, utilisée par diverses applications Web, dans les produits Cisco concernés. La gravité de ces vulnérabilités est de 9,8 sur 10 dans le système CVSS (Common Vulnerability Scoring System).

Voici quelques-uns des problèmes potentiels causés par ces vulnérabilités :

- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant non authentifié de contourner l'authentification et d'exécuter des actions arbitraires avec des privilèges d'administrateur sur un appareil affecté. La vulnérabilité est due à une validation insuffisante du contrôle d'accès. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête élaborée à l'API REST.

- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant authentifié d'exécuter du code arbitraire avec des privilèges root sur le système d'exploitation sous-jacent. La vulnérabilité est due à une validation d'entrée incorrecte. « Un attaquant pourrait exploiter cette faille en créant un fichier malveillant et en l'envoyant à l'API REST », a déclaré Cisco.

- Une vulnérabilité dans l'API REST de UCS Director et UCS Director Express for Big Data pourrait permettre à un attaquant distant non authentifié de contourner l'authentification et d'exécuter des appels d'API sur un appareil affecté. La vulnérabilité est due à une validation insuffisante du contrôle d'accès. « Une exploitation réussie pourrait permettre à l'attaquant d'interagir avec l'API REST et de provoquer un déni de service (DoS) sur le dispositif concerné », a déclaré Cisco.

L'équipementier rappelle qu'il a livré des mises à jour logicielles gratuites corrigeant ces vulnérabilités et qu'il a corrigé les vulnérabilités dans UCS Director version 6.7.4.0 et UCS Director Express for Big Data version 3.7.4.0. « Steven Seeley (mr_me) de Source Incite a collaboré avec Trend Micro Zero Day Initiative pour divulguer les failles, lesquelles n'ont pas été exploitées », a déclaré Cisco.

D'autres correctifs pour les IP Phone

En dehors de ces produits UCS, Cisco a également émis cette semaine deux autres avis de sécurité critiques pour des failles affectant ses IP Phones. « En premier lieu, une vulnérabilité dans le serveur web pour IP Phons du fournisseur pourrait permettre à un attaquant distant non authentifié d'exécuter du code avec des privilèges root ou pourrait redémarrer un téléphone IP affecté, ce qui favoriserait les conditions d'un déni de service DoS », a déclaré la firme. Cette vulnérabilité affecte les produits Cisco suivants s'ils ont un accès web activé et s'ils exécutent une version de firmware antérieure à la première version corrigée pour ce dispositif :

- IP Phone 7811, 7821, 7841 et Desktop Phone 7861

- IP Phone 8811, 8841, 8845, 8851, 8861 et Desktop Phone 8865$

- Unified IP Conference Phone 8831

- Wireless IP Phone 8821 et 8821-EX

Un autre problème à propos de l'IP Phone concernait l'application web pour les IP Phone de Cisco. Celle-ci pouvait permettre à un attaquant d'envoyer une requête HTTP au serveur web d'un appareil ciblé. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter à distance du code avec des privilèges root ou de redémarrer un IP Phone affecté, ce qui favoriserait les conditions d'un déni de service DoS. « Cette vulnérabilité est liée au fait que le logiciel affecté ne vérifie pas les limites des données d'entrée », a déclaré Cisco. La société a publié des mises à jour logicielles gratuites pour corriger ces problèmes.

Kneron vise l'ermbarqué avec sa puce KL730 taillée pour l'IA

Axée sur l'image, la puce d'intelligence artificielle KL730 de Kneron devrait permettre de nombreuses améliorations dans les domaines de l'edge computing, de la sécurité et de l'automobile. Dénommée KL730,...

le 22/08/2023, par Jon Gold / Network World (adaptation Jean Elyan), 533 mots

Volumez repense le stockage cloud en misant sur la performance...

Fondé par des vétérans dans l'industrie du stockage, Volumez promeut un logiciel d'orchestration du stockage qui exploite des ressources Linux pour exécuter des charges de travail exigeantes en utilisant une...

le 23/06/2023, par Serge LEBLAL, 939 mots

Des serveurs Lenovo edge pour l'IA et le traitement des données

Les serveurs Lenovo ThinkEdge offriront une plus grande capacité de traitement là où les données sont générées et permettront aux entreprises d'effectuer de l'inférence en temps réel à la périphérie. Au cours...

le 20/06/2023, par Andy Patrizio, IDG NS (adapté par Jean Elyan), 565 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...