Le logiciel de gestion Cisco SD-WAN vManage est affecté par une faille qui permet à un attaquant distant non authentifié d’obtenir des autorisations de lecture ou d’écriture limitées sur la configuration de l’instance affectée.
Cisco SD-WAN vManage est une solution basée sur le cloud permettant aux organisations de concevoir, déployer et gérer des réseaux distribués sur plusieurs sites.
Les instances de vManage sont des déploiements qui peuvent servir à la gestion centralisée du réseau, à la configuration de VPN, à l’orchestration SD-WAN, au déploiement de la configuration des appareils, à l’application des politiques, etc.
Cisco a publié hier un bulletin de sécurité informant d’une vulnérabilité de gravité critique dans la validation de l’authentification de la demande pour l’API REST du logiciel Cisco SD-WAN vManage, suivi comme CVE-2023-20214.
La faille est causée par une validation de demande insuffisante lors de l’utilisation de la fonction API REST, qui peut être exploitée en envoyant une demande d’API spécialement conçue aux instances vManage concernées.
Cela pourrait permettre aux attaquants de lire des informations sensibles à partir du système compromis, de modifier certaines configurations, de perturber les opérations du réseau, etc.
« Un exploit réussi pourrait permettre à l’attaquant de récupérer des informations et d’envoyer des informations à la configuration de l’instance Cisco vManage affectée », lit-on dans le bulletin de Cisco.
« Cette vulnérabilité n’affecte que l’API REST et n’affecte pas l’interface de gestion Web ou la CLI. »
Correctifs et solutions de contournement
Les versions de Cisco SD-WAN vManage concernées par CVE-2023-20214 sont :
- v20.6.3.3 – corrigé dans la v20.6.3.4
- v20.6.4 – corrigé dans la v20.6.4.2
- v20.6.5 – corrigé dans la v20.6.5.5
- v20.9 – corrigé dans la v20.9.3.2
- v20.10 – corrigé dans la v20.10.1.2
- v20.11 – corrigé dans la v20.11.1.2
De plus, les versions 20.7 et 20.8 de Cisco SD-WAN vManage sont également impactées, mais aucun correctif ne sera publié pour ces deux versions, il est donc conseillé à leurs utilisateurs de migrer vers une version différente.
Les versions entre 18.x et 20.x non mentionnées dans la liste ci-dessus ne sont pas impactées par CVE-2023-20214.
Cisco indique qu’il n’existe aucune solution de contournement pour cette vulnérabilité ; cependant, il existe des moyens de réduire considérablement la surface d’attaque.
Il est conseillé aux administrateurs réseau d’utiliser des listes d’accès de contrôle (ACL) qui limitent l’accès aux instances de vManage uniquement aux adresses IP spécifiées, fermant la porte aux attaquants externes.
Une autre mesure de sécurité robuste consiste à utiliser des clés API pour accéder aux API, une recommandation générale de Cisco mais pas une exigence absolue pour les déploiements vManage.
Les administrateurs sont également chargés de surveiller les journaux pour détecter les tentatives d’accès à l’API REST, indiquant une exploitation potentielle des vulnérabilités.
Pour afficher le contenu du fichier vmanage-server.log, utilisez la commande « vmanage# show log /var/log/nms/vmanage-server.log ».