Cisco a averti aujourd’hui ses clients d’une vulnérabilité de haute gravité affectant certains modèles de commutateurs de centre de données et permettant aux attaquants de falsifier le trafic chiffré.

Suivie sous le nom de CVE-2023-20185, la faille a été découverte lors de tests de sécurité internes dans la fonction de chiffrement ACI Multi-Site CloudSec des commutateurs de matrice Cisco Nexus série 9000 du centre de données.

La vulnérabilité n’affecte que les commutateurs spinaux Cisco Nexus 9332C, 9364C et 9500 (les derniers équipés d’une carte de ligne Cisco Nexus N9K-X9736C-FX) uniquement s’ils sont en mode ACI, font partie d’une topologie multisite, ont la La fonction de chiffrement CloudSec est activée et exécute le micrologiciel 14.0 et les versions ultérieures.

Une exploitation réussie permet à des attaquants non authentifiés de lire ou de modifier à distance le trafic chiffré intersite échangé entre les sites.

« Cette vulnérabilité est due à un problème d’implémentation des chiffrements utilisés par la fonction de chiffrement CloudSec sur les commutateurs concernés », a déclaré Cisco.

« Un attaquant avec une position sur le chemin entre les sites ACI pourrait exploiter cette vulnérabilité en interceptant le trafic crypté intersite et en utilisant des techniques de cryptanalyse pour casser le cryptage. »

Aucun patch et aucun signe d’exploitation active
Cisco n’a pas encore publié de mises à jour logicielles pour résoudre la vulnérabilité CVE-2023-20185. Les clients utilisant des commutateurs de centre de données concernés sont invités à désactiver la fonction vulnérable et à demander conseil à leur organisation de support pour explorer des solutions alternatives.

Pour savoir si le chiffrement CloudSec est utilisé sur un site ACI, accédez à Infrastructure > Connectivité du site > Configurer > Sites > nom du site > Connectivité inter-sites sur Cisco Nexus Dashboard Orchestrator (NDO) et vérifiez si « CloudSec Encryption » est marqué comme « Activé ».

Pour vérifier si le chiffrement CloudSec est activé sur un commutateur de la gamme Cisco Nexus 9000, exécutez la commande show cloudsec sa interface all via la ligne de commande du commutateur. S’il renvoie ‘Operational Status’ pour n’importe quelle interface, le chiffrement CloudSec est activé.

L’équipe de réponse aux incidents de sécurité des produits (PSIRT) de la société n’a pas encore trouvé de preuve d’un code d’exploitation public ciblant le bogue ou que la faille a été exploitée dans des attaques.

En mai, il a également corrigé quatre failles critiques d’exécution de code à distance avec un code d’exploitation public affectant plusieurs commutateurs Small Business Series.

Cisco travaille également sur la correction d’un bogue de script intersite (XSS) dans l’outil de gestion de serveur Prime Collaboration Deployment (PCD), signalé par Pierre Vivegnis du Cyber Security Center (NCSC) de l’OTAN.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *