
Cisco a dévoilé aujourd’hui une vulnérabilité « zero-day » dans le logiciel Prime Collaboration Deployment (PCD) de la société qui peut être exploitée pour des attaques de script intersite.
Cet utilitaire de gestion de serveur permet aux administrateurs d’effectuer des tâches de migration ou de mise à niveau sur les serveurs de l’inventaire de leur organisation.
Suivi sous le nom de CVE-2023-20060, le bogue a été trouvé dans l’interface de gestion Web de Cisco PCD 14 et versions antérieures par Pierre Vivegnis du Centre de cybersécurité de l’OTAN (NCSC).
Une exploitation réussie permet à des attaquants non authentifiés de lancer des attaques de script intersite à distance, mais nécessite une interaction de l’utilisateur.
« Cette vulnérabilité existe parce que l’interface de gestion basée sur le Web ne valide pas correctement les entrées fournies par l’utilisateur. Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l’interface de cliquer sur un lien spécialement conçu », explique Cisco.
« Un exploit réussi pourrait permettre à l’attaquant d’exécuter un code de script arbitraire dans le contexte de l’interface affectée ou d’accéder à des informations sensibles basées sur un navigateur. »
Alors que Cisco a partagé des informations sur l’impact de la faille, la société publiera des mises à jour de sécurité pour y remédier le mois prochain. Pour l’instant, aucune solution de contournement n’est disponible pour supprimer le vecteur d’attaque.
Heureusement, l’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) n’a pas encore trouvé de preuve d’utilisation malveillante dans la nature et n’est pas au courant du code d’exploitation public ciblant le bogue.

Zero-day dévoilé en décembre toujours en attente d’un patch
Cisco doit également corriger un autre téléphone IP à haute gravité (CVE-2022-20968) avec un code d’exploitation accessible au public, divulgué début décembre 2023.
Le PSIRT de Cisco a averti à l’époque qu’il était « conscient qu’un code d’exploitation de preuve de concept est disponible » et que « la vulnérabilité a été discutée publiquement ».
Alors que la société a promis que des mises à jour de sécurité seraient publiées en janvier 2023, le bogue reste non corrigé des mois après la divulgation initiale.
Les appareils concernés par CVE-2022-20968 incluent les téléphones IP Cisco exécutant les versions 14.2 et antérieures du micrologiciel des séries 7800 et 8800.
Même si Cisco n’a pas fourni de solution de contournement pour ce téléphone IP zero-day, il a conseillé aux administrateurs d’appliquer des mesures d’atténuation temporaires, ce qui nécessite la désactivation du protocole de découverte Cisco sur les appareils concernés prenant en charge le protocole LLDP (Link Layer Discovery Protocol) comme option de secours.
« Ce n’est pas un changement anodin et il faudra faire preuve de diligence de la part de l’entreprise pour évaluer tout impact potentiel sur les appareils ainsi que la meilleure approche pour déployer ce changement dans leur entreprise », avait averti la société à l’époque.