Le compte par défaut, outil de débogage expose les utilisateurs de Cisco Prime aux attaques

Cisco a informé les clients cette semaine que son Prime Data Center Network Manager (DCNM) est affecté par deux vulnérabilités critiques qui peuvent être exploitées pour l'exécution de code à distance et pour accéder à la console d'administration du produit.

L'un des défauts, suivi sous CVE-2017-6639, est lié au manque d'authentification et d'autorisation d'un outil de débogage qui a été laissé de côté par inadvertance.

Un attaquant distant et non authentifié peut exploiter la vulnérabilité pour accéder à des informations sensibles ou exécuter un code arbitraire avec des privilèges root en se connectant à l'outil de débogage via TCP.

Le trou de sécurité affecte les versions 10.1 (1) et 10.1 (2) de Cisco Prime DCNM pour Windows, Linux et les appareils virtuels.

La deuxième vulnérabilité DCNM principale, identifiée comme CVE-2017-6640, existe en raison d'un compte utilisateur par défaut protégé par un mot de passe statique. Un attaquant qui peut se connecter à distance au système concerné peut utiliser ce compte pour obtenir un accès privilégié à l'interface d'administration du serveur.

Le géant du réseau a déclaré que ce défaut affectait uniquement le logiciel de gestion de Prime DCNM version 10.2 (1) pour Windows, Linux et les appareils virtuels.

Les deux vulnérabilités de DCNM ont été divulguées à Cisco par Antonius Mulder de Commonwealth Bank of Australia et il n'y a aucune preuve qu'elles ont été exploitées à l'état sauvage. Les défauts ont été corrigés avec la version 10.2 (1), mais les solutions de rechange ne sont pas disponibles.

Cisco a également publié un avis pour une vulnérabilité d'escalade de privilèges locaux de grande gravité …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils