Cisco émet un avis de sécurité critique pour le conteneur REST API de IOS XE
La vulnérabilité dans le conteneur de service virtuel Cisco REST API de IOS XE - elle porte la référence CVE-2019-12643 - pourrait permettre à des attaquants de récupérer le token-id d'un utilisateur authentifié.
Cette semaine, Cisco a livré une mise à jour pour corriger une vulnérabilité dans le conteneur de service virtuel REST API de IOS XE. Cette vulnérabilité est affectée du score critique de 10 sur 10 dans le système de notation Common Vulnerability Scoring System (CVSS). En exploitant cette vulnérabilité, un attaquant pourrait soumettre des requêtes HTTP malveillantes à l'appareil ciblé. « Et, en cas de succès, il pourrait récupérer le token-id d'un utilisateur authentifié et l'utiliser pour contourner l'authentification et exécuter des actions avec privilèges via l'interface du conteneur de service virtuel REST API sur le périphérique Cisco IOS XE concerné », a déclaré Cisco.
Selon l'entreprise, l'application REST API fonctionne dans un conteneur de service virtuel. Un conteneur de service virtuel est un environnement virtualisé sur un périphérique livré sous forme d'application virtuelle ouverte (OVA). Le package OVA doit être installé et activé sur un périphérique via l'interface en mode ligne de commande du gestionnaire de virtualisation de périphériques (VMAN). Cisco REST API fournit un ensemble d'API RESTful comme méthode alternative à l'interface en ligne de commande IOS XE pour provisionner des fonctions sélectionnées sur les équipements du fournisseur californien.
Selon Cisco, la vulnérabilité peut être exploitée dans les conditions suivantes :
- L'appareil exécute une version vulnérable du logiciel IOS XE.
- L'appareil a installé et activé une version du conteneur de service virtuel REST API affectée par la vulnérabilité.
- Un utilisateur autorisé avec des identifiants d'administrateur (niveau 15) est authentifié à l'interface REST API.
L'interface REST API n'est pas activée par défaut. Pour être vulnérable, le conteneur de service virtuel doit être installé et activé. Supprimer le package OVA de la mémoire de stockage de l'appareil supprime le vecteur d'attaque. « Si le conteneur de service virtuel REST API n'est pas activé, cette opération n'aura pas d'impact sur les conditions normales de fonctionnement de l'appareil », a précisé Cisco.
Les routeurs et firewall Cisco touchés
Cette vulnérabilité affecte les périphériques Cisco configurés pour utiliser une version vulnérable du conteneur de service virtuel REST API. Cette vulnérabilité a affecté les produits suivants : les routeurs à services intégrés Cisco 4000 Series Integrated Services Routers, les routeurs de services d'agrégation ASR 1000 Series Aggregation Services Routers, les routeurs Cloud Services Router 1000V Series, les routeurs virtuels à services intégrés Integrated Services Virtual Router.
L'équipementier a livré une version fixe du conteneur de service virtuel REST API et une version durcie de IOS XE qui empêche l'installation ou l'activation d'un conteneur vulnérable sur un périphérique. Si le dispositif était déjà configuré avec un conteneur vulnérable actif, la mise à niveau logicielle de l'IOS XE désactivera le conteneur, rendant le dispositif non vulnérable. Dans ce cas, « pour restaurer la fonctionnalité REST API, les clients doivent mettre à niveau le conteneur de service virtuel Cisco REST API vers une version logicielle fixe », a déclaré la société.