Cisco publie un correctif pour une faille critique dans les systèmes d’intervention d’urgence
- par Kenan
- , le 7 octobre 2023
- 15 h 59 min
Cisco a publié des mises à jour pour corriger une faille de sécurité critique affectant Emergency Responder qui permet à des attaquants distants non authentifiés de se connecter à des systèmes sensibles à l’aide d’informations d’identification codées en dur.
La vulnérabilité, répertoriée sous le nom de CVE-2023-20101 (score CVSS : 9.8), est due à la présence d’informations d’identification statiques pour le compte root qui, selon l’entreprise, est généralement réservé à une utilisation pendant le développement.
« Un attaquant pourrait exploiter cette vulnérabilité en utilisant le compte pour se connecter à un système affecté », a déclaré Cisco dans un avis. « Une exploitation réussie pourrait permettre à l’attaquant de se connecter au système affecté et d’exécuter des commandes arbitraires en tant qu’utilisateur root.
Le problème concerne la version 12.5(1)SU4 de Cisco Emergency Responder et a été résolu dans la version 12.5(1)SU5. Les autres versions du produit ne sont pas concernées.
L’entreprise spécialisée dans les équipements de réseau a déclaré avoir découvert le problème lors de tests de sécurité internes et n’avoir connaissance d’aucune utilisation malveillante de la vulnérabilité dans la nature.
Cette divulgation intervient moins d’une semaine après que Cisco a mis en garde contre une tentative d’exploitation d’une faille de sécurité dans ses logiciels IOS et IOS XE (CVE-2023-20109, CVSS score : 6.6) qui pourrait permettre à un attaquant distant authentifié de réaliser une exécution de code à distance sur les systèmes concernés. En l’absence de solutions de contournement temporaires, il est recommandé aux clients de mettre à jour vers la dernière version afin d’atténuer les menaces potentielles.