Cisco a averti mercredi ses clients de corriger une vulnérabilité logicielle Zero Day IOS et IOS XE ciblée par les attaquants sauvages.
Découverte par X. B. du Cisco Advanced Security Initiatives Group (ASIG), cette faille de sécurité de gravité moyenne (CVE-2023-20109) provient d’une validation inadéquate des attributs au sein des protocoles Group Domain of Interpretation (GDOI) et G-IKEv2 du GET VPN. fonctionnalité.
Heureusement, les conditions d’exploitation réussie exigent que les attaquants potentiels aient le contrôle administrateur soit d’un serveur de clés, soit d’un membre du groupe. Cela implique que les attaquants ont déjà infiltré l’environnement, puisque toutes les communications entre le serveur de clés et les membres du groupe sont cryptées et authentifiées.
« Un attaquant pourrait exploiter cette vulnérabilité soit en compromettant un serveur de clés installé, soit en modifiant la configuration d’un membre du groupe pour qu’il pointe vers un serveur de clés contrôlé par l’attaquant », a expliqué Cisco dans un avis de sécurité publié mercredi.
« Un exploit réussi pourrait permettre à l’attaquant d’exécuter du code arbitraire et de prendre le contrôle total du système affecté ou de provoquer le rechargement du système affecté, entraînant un déni de service (DoS). »
Le bug du jour zéro affecte tous les produits Cisco exécutant une version vulnérable du logiciel IOS ou IOS XE avec le protocole GDOI ou G-IKEv2 activé.
Les produits Meraki et ceux exécutant les logiciels IOS XR et NX-OS ne sont pas exposés aux attaques utilisant les exploits CVE-2023-20109.
Dans l’exploitation sauvage
Malgré l’accès étendu à l’environnement cible requis pour exploiter cette vulnérabilité avec succès, la société a révélé dans le même avis que les acteurs malveillants ont déjà commencé à la cibler dans leurs attaques.
« Cisco a découvert une tentative d’exploitation de la fonctionnalité GET VPN et a procédé à un examen technique du code de la fonctionnalité. Cette vulnérabilité a été découverte lors de notre enquête interne », indique l’avis.
« Cisco continue de recommander fortement aux clients de passer à une version logicielle corrigée pour remédier à cette vulnérabilité. »
Mercredi, Cisco a également publié des correctifs de sécurité pour une vulnérabilité critique dans les API SAML (Security Assertion Markup Language) du logiciel de gestion de réseau Catalyst SD-WAN Manager.
Une exploitation réussie permettrait à des attaquants non authentifiés d’obtenir à distance un accès non autorisé à l’application en tant qu’utilisateur arbitraire.