Cisco a corrigé une vulnérabilité d’injection de commande avec un code d’exploitation public qui permet aux attaquants d’augmenter les privilèges de root sur les systèmes vulnérables.
Repérée sous le numéro CVE-2024-20469, la faille de sécurité a été découverte dans la solution Identity Services Engine (SE) de Cisco, un logiciel de contrôle d’accès au réseau et d’application des politiques basé sur l’identité qui permet l’administration des périphériques réseau et le contrôle d’accès aux terminaux dans les environnements d’entreprise.
Cette vulnérabilité d’injection de commandes du système d’exploitation est causée par une validation insuffisante des entrées fournies par l’utilisateur. Les attaquants locaux peuvent exploiter cette faiblesse en soumettant des commandes CLI conçues de manière malveillante dans des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
Cependant, comme l’explique Cisco, les auteurs de menaces ne peuvent exploiter cette faille avec succès que s’ils disposent déjà de privilèges d’administrateur sur des systèmes non corrigés.
« Une vulnérabilité dans des commandes CLI spécifiques dans Cisco Identity Services Engine (SE) pourrait permettre à un attaquant local authentifié d’effectuer des attaques par injection de commandes sur le système d’exploitation sous-jacent et d’élever les privilèges à root », a averti la société dans un avis de sécurité publié mercredi.
« Cisco PSIRT est conscient qu’un code d’exploitation de validation de principe est disponible pour la vulnérabilité décrite dans cet avis. »
| Version de Cisco I | Première Version Fixe |
|---|---|
| 3.1 et plus tôt | Non affecté |
| 3.2 | 3.2P7 (Sep 2024) |
| 3.3 | 3.3P4 (Oct 2024) |
| 3.4 | Non affecté |
Jusqu’à présent, l’entreprise n’a pas encore découvert de preuves d’attaquants exploitant cette vulnérabilité de sécurité dans la nature.
Cisco a également averti ses clients aujourd’hui qu’il avait supprimé un compte de porte dérobée dans son logiciel Windows Smart Licensing Utility que les attaquants pouvaient utiliser pour se connecter à des systèmes non corrigés avec des privilèges administratifs.
En avril, il a publié des correctifs de sécurité pour une vulnérabilité du Contrôleur de gestion intégré (IMC) (CVE-2024-20295) avec un code d’exploitation accessible au public qui permet également aux attaquants locaux d’élever les privilèges au niveau root.
Une autre faille critique (CVE-2024-20401), qui permet aux acteurs de la menace et aux utilisateurs root malveillants de bloquer définitivement les appliances Security Email Gateway (SEG) via des e-mails malveillants, a été corrigée le mois dernier.
La même semaine, il a mis en garde contre une vulnérabilité de gravité maximale qui permet aux attaquants de modifier n’importe quel mot de passe utilisateur sur les serveurs de licences Cisco Smart Software Manager On-Prem vulnérables (Cisco SSM On-Prem), y compris les administrateurs.