Vulnérabilité critique de type élévation de privilège dans le logiciel Cisco IOS XE

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2023/ALERTE/047

Date de l’alerte : 17/10/2023

APERÇU :

Une vulnérabilité critique dans la fonctionnalité d’interface Web de CISCO IOS XE permet à un attaquant distant non authentifié de créer un compte utilisateur avec tous les privilèges administratifs sur un système affecté afin d’exécuter des commandes à distance et prendre le contrôle de ce dernier. 

DESCRIPTION :

Cisco IOS XE, développé par Cisco Systems, est un logiciel réseau polyvalent conçu pour une gestion avancée des réseaux d’entreprise. Il fonctionne sur une gamme de dispositifs tels que routeurs et commutateurs. 

L’exploitation de cette vulnérabilité résulterait de l’activation du serveur HTTP/S pour l’interface Web. Cette vulnérabilité de type élévation de privilège, identifiée sous le numéro CVE-2023-20198, permettrait à une personne malveillante distante et non authentifiée de créer un compte avec un niveau de privilège 15 sur un système compromis. L’attaquant pourrait alors prendre un contrôle total, y compris la modification des configurations et le rechargement du système. 

Cette vulnérabilité est de sévérité Critique et son score est de 10. 

 

IMPACT :

  • Atteinte à l’intégrité des données ;
  • Contournement de la politique de sécurité ;
  • Exécution de code arbitraire à distance.

SYSTÈMES AFFECTÉS : 

CISCO IOS XE ayant son interface Web de gestion accessible sur internet. 

MESURES À PRENDRE : 

Désactiver la fonctionnalité du serveur HTTP/S sur tous les systèmes Cisco IOS XE connectés à Internet. 

RÉFÉRENCES :

Partagez sur vos réseaux.