Cisco avertit d’une vulnérabilité dans IOS et IOS XE

La vulnérabilité de gravité moyenne est répertoriée sous le nom de CVE-2023-20109, et a un score CVSS de 6,6. Elle affecte toutes les versions du logiciel qui ont le protocole GDOI ou G-IKEv2 activé.

La société a déclaré que la faille « pourrait permettre à un attaquant distant authentifié qui a le contrôle administratif d’un membre du groupe ou d’un serveur de clés d’exécuter un code arbitraire sur un appareil affecté ou de provoquer un crash de l’appareil ».

Elle a également indiqué que le problème résulte d’une validation insuffisante des attributs dans les protocoles GDOI (Group Domain of Interpretation) et G-IKEv2 de la fonction GET VPN et qu’il pourrait être exploité en compromettant un serveur de clés installé ou en modifiant la configuration d’un membre du groupe pour qu’il pointe vers un serveur de clés contrôlé par l’attaquant.

La vulnérabilité aurait été découverte à la suite d’une enquête interne et d’un audit du code source initié après une « tentative d’exploitation de la fonction GET VPN ».

Cette révélation intervient alors que Cisco a détaillé un ensemble de cinq failles dans Catalyst SD-WAN Manager (versions 20.3 à 20.12) qui pourraient permettre à un attaquant d’accéder à une instance affectée ou de provoquer un déni de service sur un système affecté. Une exploitation réussie des bogues pourrait permettre à l’acteur de la menace d’obtenir un accès non autorisé à l’application en tant qu’utilisateur arbitraire, de contourner l’autorisation et de revenir sur les configurations du contrôleur, d’accéder à la base de données Elasticsearch d’un système affecté, d’accéder à un autre locataire géré par la même instance, et de provoquer un crash. Il est recommandé aux clients d’effectuer une mise à niveau vers une version corrigée du logiciel afin de remédier aux vulnérabilités. Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne