Discussion :

[Bruno]

Vulnérabilité du contournement de l'authentification de l'interface de gestion du contrôleur LAN sans fil Cisco
C'est un 10 sur 10 en sévérité, selon certains analystes

Cisco est un grand fabricant de matériel pour les réseaux informatiques, notamment en entreprise et dans les centres informatiques. Par exemple, l'entreprise fabrique des commutateurs et des routeurs Ethernet à très haut débit. Une vulnérabilité dans la fonctionnalité d'authentification du logiciel Cisco Wireless LAN Controller (WLC) pourrait permettre à un cybercriminel distant non authentifié de contourner les contrôles d'authentification et de se connecter à l'appareil via l'interface de gestion.

Cette vulnérabilité est due à l'implémentation incorrecte de l'algorithme de validation des mots de passe. Un cybercriminel peut exploiter cette vulnérabilité en se connectant à un périphérique affecté avec des informations d'identification modifiées. Une exploitation réussie pourrait permettre à l'attaquant de contourner l'authentification et de se connecter à l'appareil en tant qu'administrateur. L'attaquant pourrait obtenir des privilèges du même niveau qu'un utilisateur administratif, mais cela dépend des informations d'identification modifiées.

« Cette vulnérabilité est due à la mise en œuvre incorrecte de l'algorithme de validation des mots de passe », indique Cisco. « Un cybercriminel pourrait exploiter cette vulnérabilité en se connectant à un périphérique affecté avec des informations d'identification modifiées. « Une exploitation réussie pourrait permettre au cybercriminel de contourner l'authentification et de se connecter à l'appareil en tant qu'administrateur. »

L'avis fait référence à la vulnérabilité sous le nom de CVE-2022-20695 et note que si la faille est exploitée avec succès, l'attaquant peut obtenir des privilèges d'administrateur. Cisco a attribué à cette vulnérabilité une note de gravité de 10.0 sur 10.0. C'est tout ce qu'il y a de pire pour ceux dont l'échelle d'évaluation ne va pas jusqu'à 11.0, autrement dit « l'appel vient de l'intérieur de la maison ». Les produits Cisco suivants sont concernés s'ils exécutent la version 8.10.151.0 ou 8.10.162.0 du logiciel Cisco WLC et si le mode de compatibilité MAC Filter RADIUS est défini sur Autre :

Contrôleur sans fil 3504
Contrôleur sans fil 5520
Contrôleur sans fil 8540
Mobility Express

Contrôleur sans fil virtuel (vWLC)

Ce paramètre, s'il n'est pas présent à l'esprit, peut être déterminé en entrant la commande show macfilter summary dans l'interface de ligne de commande wlc du dispositif.

La création d'un filtre d'adresse MAC sur un WLC permet aux administrateurs d'accorder ou de refuser l'accès au réseau WLAN en fonction de l'adresse MAC du client. Les WLC Cisco prennent en charge l'authentification MAC locale ou l'authentification MAC à l'aide d'un serveur RADIUS. L'avis décrit des solutions de contournement potentielles pour ceux qui n'utilisent pas de filtres MAC dans leur environnement. Si c'est le cas, il suffit de lancer la CLI et d'entrer config macfilter radius-compat cisco à l'invite du wlc.

Solutions de contournement

Il existe des solutions de contournement qui permettent de remédier à cette vulnérabilité en fonction de l'environnement :

Option 1 : Pas de filtres Mac dans l'environnement

Les clients qui n'utilisent pas de filtres Mac peuvent réinitialiser le mode de compatibilité macfilter radius à la valeur par défaut à l'aide de la commande CLI suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

wlc > config macfilter radius-compat cisco

Option 2 : filtres Mac dans l'environnement

Les clients qui utilisent des filtres Mac et qui sont en mesure de modifier la configuration du serveur radius pour correspondre à d'autres modes de compatibilité possibles peuvent modifier le mode de compatibilité de macfilter sur cisco ou free en utilisant l'une des commandes CLI suivantes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
wlc > config macfilter radius-compat cisco
wlc > config macfilter radius-compat free

Pour plus d'informations sur les différents modes de compatibilité filtres Mac, consultez la référence des commandes du contrôleur sans fil Cisco.
Bien que ces solutions de contournement aient été déployées et se soient avérées efficaces dans un environnement de test, les clients doivent déterminer leur applicabilité et leur efficacité dans leur propre environnement et dans leurs propres conditions d'utilisation.

Les clients doivent être conscients que toute solution de contournement ou d'atténuation mise en œuvre peut avoir un impact négatif sur la fonctionnalité ou les performances de leur réseau en fonction des scénarios de déploiement et des limitations intrinsèques du client. Les clients ne doivent pas déployer de solutions de contournement ou d'atténuation avant d'avoir évalué l'applicabilité à leur propre environnement et l'impact éventuel sur cet environnement.

Logiciels corrigés

Cisco a publié des mises à jour logicielles gratuites qui corrigent la vulnérabilité décrite dans cet avis. Les clients ayant des contrats de service qui leur donnent droit à des mises à jour logicielles régulières doivent obtenir les correctifs de sécurité via leurs canaux de mise à jour habituels.

Les clients ne peuvent installer et attendre une assistance que pour les versions logicielles et les ensembles de fonctionnalités pour lesquels ils ont acheté une licence. En installant, téléchargeant, accédant ou utilisant ces mises à jour logicielles, les clients acceptent de respecter les conditions de la licence logicielle Cisco :

En outre, les clients ne peuvent télécharger que les logiciels pour lesquels ils disposent d'une licence valide, obtenue directement auprès de Cisco ou par l'intermédiaire d'un revendeur ou d'un partenaire agréé par Cisco. Dans la plupart des cas, il s'agira d'une mise à niveau de maintenance d'un logiciel précédemment acheté. Les mises à jour gratuites des logiciels de sécurité ne donnent pas droit à une nouvelle licence logicielle, à des ensembles de fonctionnalités logicielles supplémentaires ou à des mises à niveau de révisions majeures.

La page Cisco Support and Downloads sur Cisco.com fournit des informations sur les licences et les téléchargements. Cette page peut également afficher la couverture de support des appareils des clients qui utilisent l'outil Mes appareils. Lorsqu'ils envisagent des mises à niveau logicielles, les clients sont invités à consulter régulièrement les avis relatifs aux produits Cisco, qui sont disponibles sur la page des avis de sécurité Cisco, afin de déterminer l'exposition et une solution de mise à niveau complète.

Dans tous les cas, les clients doivent s'assurer que les appareils à mettre à niveau contiennent suffisamment de mémoire et confirmer que les configurations matérielles et logicielles actuelles continueront à être prises en charge correctement par la nouvelle version. Si les informations ne sont pas claires, il est conseillé aux clients de contacter le centre d'assistance technique (TAC) de Cisco ou leurs fournisseurs de maintenance sous contrat.

Clients sans contrat de service

Les clients qui achètent directement auprès de Cisco mais qui ne détiennent pas de contrat de service Cisco et les clients qui achètent par l'intermédiaire de fournisseurs tiers mais qui ne parviennent pas à obtenir un logiciel fixe par le biais de leur point de vente doivent obtenir des mises à niveau en contactant le TAC de Cisco.

Les clients doivent disposer du numéro de série du produit et être prêts à fournir l'URL de cet avis comme preuve de leur droit à une mise à niveau gratuite.
Même pour ceux qui utilisent des filtres MAC avec leur matériel Cisco, l'interface CLI offre une porte de sortie en permettant de modifier le paramètre de compatibilité du filtre MAC en cisco ou free.

Cisco ne fournit ces solutions de contournement que pour ceux qui ne sont pas en mesure d'appliquer un correctif immédiatement. L'entreprise de matériel réseau veut que ses clients comprennent qu'elle n'est pas responsable si les efforts d'atténuation tournent mal. « Bien que ces solutions de contournement aient été déployées et se soient avérées efficaces dans un environnement de test, les clients doivent déterminer l'applicabilité et l'efficacité dans leur propre environnement et dans leurs propres conditions d'utilisation », prévient l'avis.

Source : Cisco

Et vous ?

Quel est votre avis sur cette faille ?

Utilisez-vous les produits Cisco dans votre système informatique ?

Voir aussi :

La puce Cisco Silicon One vise les services infonuagiques à grande échelle, elle peut router des paquets à plus de dix térabits par seconde

Un ex-ingénieur de Cisco admet avoir supprimé 456 VM utilisées pour exécuter l'application WebEx Teams, Cisco a dépensé 1,4 million de dollars en temps d'employés pour restaurer les dommages causés

[Steinvikel]

La faille ne concerne que 2 versions, mais je suis curieux de connaître la part du parc matériel Cisco (avec fonction sans fil) qui emploi l'une de ces 2 versions.
2 versions, 3 modèles, ça parait peu, mais si la palette de choix des produits Cisco est réduite, ça peut représenter une grosse part de ses produits.
Ce genre de failles lié à l'implémentation me surprendront toujours, elles sont énoncés avec le minimum d'info' pour limiter l'atteinte à l'image de la société concernée.
En définitive, ça donne l'impression d'un manque de considération, ou de moyens, ou de sérieux, ou des 3 à la fois quant au développement et intégration de cet élément.

PS : la note n'en parle évidement pas, mais par réaction, des audit sont peut être programmés pour vérifier le bon fonctionnement d'autres moyens d'authentification sans fil ou filaire de Cisco.