Cisco a publié des correctifs pour une vulnérabilité de contrôleur de gestion intégré (IMC) de gravité élevée avec un code d’exploitation public qui peut permettre aux attaquants locaux d’augmenter les privilèges jusqu’à root.

Cisco IMC est un contrôleur de gestion de plinthe pour gérer les serveurs de stockage en rack UCS C-Series et UCS S-Series via plusieurs interfaces, y compris les interfaces API XML, Web (WebUI) et de ligne de commande (CLI).

« Une vulnérabilité dans l’interface de ligne de commande du contrôleur de gestion intégré Cisco (IMC) pourrait permettre à un attaquant local authentifié d’effectuer des attaques par injection de commandes sur le système d’exploitation sous-jacent et d’élever les privilèges à root », explique la société.

« Pour exploiter cette vulnérabilité, l’attaquant doit disposer de privilèges en lecture seule ou supérieurs sur un appareil affecté. »

Identifiée comme CVE-2024-20295, cette faille de sécurité est causée par une validation insuffisante des entrées fournies par l’utilisateur, une faiblesse qui peut être exploitée à l’aide de commandes CLI contrefaites dans le cadre d’attaques de faible complexité.

La vulnérabilité affecte les périphériques Cisco suivants exécutant des versions IMC vulnérables dans des configurations par défaut:

  • Systèmes informatiques de Réseau d’Entreprise (ECS)de la série 5000
  • Catalyst 8300 Série Edge uCPE
  • Serveurs rack UCS série C en mode autonome
  • Serveurs de la série E UCS

Cependant, il expose également une longue liste d’autres produits aux attaques s’ils sont configurés pour fournir l’accès à l’interface de ligne de commande Cisco IMC vulnérable.

L’Équipe de réponse aux incidents de sécurité des produits (PSIRT) de Cisco a également averti dans l’avis d’aujourd’hui que le code d’exploitation de validation de principe est déjà disponible, mais heureusement, les auteurs de menaces n’ont pas encore commencé à cibler la vulnérabilité dans les attaques.

En octobre, la société a publié des correctifs de sécurité pour deux jours zéro, qui ont été utilisés pour violer plus de 50 000 appareils IOS XE en une semaine.

Les attaquants ont également exploité un deuxième jour zéro IOS et IOS XE l’année dernière, leur permettant de détourner des appareils vulnérables via l’exécution de code à distance.

Plus récemment, Cisco a mis en garde contre une campagne de forçage brutal des informations d’identification à grande échelle et en cours ciblant les services VPN et SSH sur les périphériques Cisco, CheckPoint, Fortinet, SonicWall et Ubiquiti après avoir exhorté les clients à atténuer les attaques par pulvérisation de mots de passe contre les services VPN d’accès à distance (RAVPN) configurés sur les périphériques Cisco Secure Firewall.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *