Plusieurs vulnérabilités "mineures" dans des produits Cisco
Date : 30 Janvier 2006
Cisco a publié (fin décembre et courant janvier) plusieurs informations (avis et notes de sécurité) concernant des failles que nous (le Cert-IST) avons jugées non critiques (car elles impactent des produits Cisco non suivis ou que les failles nous paraissent très complexes à exploiter). Le présent article fait un point sur ces failles et sur notre analyse.
Les vulnérabilités Cisco concernées sont les suivantes :
- le 27 décembre 2005 : réponse de Cisco (suite à des interpellations dans des listes de discussion) concernant une vulnérabilité sur son serveur Cisco Secure ACS ("Access Control Server"),
- le 11 janvier 2006 : avis de sécurité concernant une vulnérabilité dans Cisco CS-MARS ("Cisco Security Monitoring, Analysis and Response System"),
- le 13 janvier 2006 : réponse de Cisco concernant un déni de service dans les téléphones Cisco IP 7940.
1°) Vulnérabilité "ACS"
"Cisco Secure ACS" est un serveur de contrôle d'accès, utilisé pour définir qui peut accéder au réseau, et quelles actions sont autorisées. Il fournit les services dits "AAA" ("Authentication, Authorization, Accounting") à des clients tels que les gardes-barrières PIX, les routeurs, etc...
Lorsqu'un utilisateur se connecte à distance sur un équipement Cisco (PIX/Concentrateur VPN/Routeur) configuré pour utiliser le serveur "Cisco Secure ACS", une fonctionnalité ("Downloadable IP Access Control List - ACL") de ce serveur permet de télécharger vers l'équipement Cisco des ACL au niveau IP qui seront ensuite associées à la session de l'utilisateur distant (ceci en fonction des privilèges de l'utilisateur connecté).
Une vulnérabilité a été découverte dans la gestion des échanges entre l'équipement Cisco et le serveur Cisco Secure ACS.
Elle permet à un utilisateur malveillant, capable de récupérer le contenu des échanges entre ces deux équipements (notamment le nom d'une "Downloadable IP ACL"), de s'authentifier avec cette information et accéder ainsi au réseau de l'entreprise.
Cisco propose dans sa note des solutions temporaires et des correctifs.
Le Cert-IST n'a pas émis d'avis sur ce problème (par contre, un message à été émis au sujet de cette vulnérabilité dans la liste "Vuln-Coord") car nous jugeons l'exploitation de cette faille relativement complexe.
En effet, cette dernière nécessite :
- la présence d'un service d'accès distant sur l'équipement Cisco,
- l'utilisation conjointe du serveur "Cisco Secure ACS" avec la fonctionnalité "Downloadable IP Access Control List",
- la connaissance d'un nom d'une ACL (nom aléatoire et mis à jour dynamiquement) via l'interception ("sniffing") du trafic réseau entre l'équipement Cisco et le serveur de contrôle d'accès (accès physique sur le réseau interne), ou via la compromission préalable d'un des deux équipements Cisco.
2°) Vulnérabilité "CS-MARS"
Cisco CS-MARS ("Cisco Security Monitoring, Analysis and Response System") est un outil de corrélation de journaux (ces journaux étant reçus des divers éléments du réseau).
Toutes les versions de cet outil possèdent un mot de passe par défaut pour un compte administratif "root" (compte utilisé à des fins de diagnostic). Cette situation permet à un utilisateur, capable de s’authentifier sur l’interface d’administration en ligne de commande de CS-MARS, via le compte "pnadmin", d’utiliser la commande "expert" pour obtenir les privilèges "root" sur le système.
Les versions antérieures à la version 4.1.3 ne possèdent pas de méthode permettant de modifier ce mot de passe "root". Cisco a corrigé ce problème avec la version 4.1.3, qui permet de changer ce mot de passe, via la commande "passwd expert".
3°) Vulnérabilité "Cisco IP Phone"
Un programme d’exploitation a été publié permettant de provoquer un déni de service sur les téléphones IP de Cisco 7940 et 7960. La vulnérabilité réside dans la pile IP de l’équipement et permet à un attaquant distant, via des attaques de types "SYN flooding" (vers n'importe quel port de l'équipement), de redémarrer un téléphone IP vulnérable.
Cisco a modifié ses téléphones IP 7940 et 7960 afin de réduire l’impact de cette attaque : à partir de la version 7.1(1), ces téléphones (bien qu’ils ne puissent pas assurer un mode de fonctionnement normal) ne sont plus sensibles à cette attaque.
Pour plus d’information :
- Vulnérabilité "ACS" : "Field Notice" de Cisco 68484 du 27 décembre 2005 : http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_field_notice09186a00805bf1c4.shtml
- Vulnérabilité "CS-MARS" : Avis de sécurité de Cisco 68605 du 11 janvier 2006 : http://www.cisco.com/warp/public/707/cisco-sa-20060111-mars.shtml
- Vulnérabilité "Cisco IP Phone" : "Security Notice" de Cisco 68787 du 13 janvier 2006 : http://www.cisco.com/en/US/products/hw/phones/ps379/products_security_notice09186a00805e6045.html