Cisco a publié des mises à jour de sécurité pour résoudre une vulnérabilité de gravité élevée dans l’appliance virtuelle Cisco Umbrella (VA), permettant à des attaquants non authentifiés de voler des informations d’identification d’administrateur à distance.
Fraser Hess de Pinnacol Assurance a découvert la faille (identifiée CVE-2022-20773) dans le mécanisme d’authentification SSH basé sur une clé de Cisco Umbrella VA.
Parapluie Ciscoun service de sécurité fourni par le cloud utilisé par plus de 24 000 organisations comme couche de sécurité DNS contre les attaques de phishing, de logiciels malveillants et de ransomwares, utilise ces machines virtuelles sur site comme redirecteurs DNS conditionnels qui enregistrent, chiffrent et authentifient les données DNS.
« Cette vulnérabilité est due à la présence d’une clé d’hôte SSH statique. Un attaquant pourrait exploiter cette vulnérabilité en effectuant une attaque de type « man-in-the-middle » sur une connexion SSH à Umbrella VA », a déclaré Cisco. expliqué.
« Un exploit réussi pourrait permettre à l’attaquant d’apprendre les informations d’identification de l’administrateur, de modifier les configurations ou de recharger la VA. »
La vulnérabilité affecte Cisco Umbrella VA pour Hyper-V et VMWare ESXi exécutant des versions logicielles antérieures à 3.3.2.
Aucun impact sur les configurations Umbrella VA par défaut
Heureusement, Cisco affirme que le service SSH n’est pas activé par défaut sur les machines virtuelles Umbrella sur site, ce qui réduit considérablement l’impact global de la vulnérabilité.
Pour vérifier si SSH est activé dans vos appliances virtuelles Cisco Umbrella, vous devez vous connecter à la console de l’hyperviseur, entrer en mode de configuration en appuyant sur CTRL+B et vérifier la configuration de l’AV en exécutant la commande config va show.
La sortie de la commande doit inclure une ligne « SSH access : enabled » à la fin sur les systèmes où SSH est activé.
Il n’y a pas de solutions de contournement ou d’atténuation disponibles pour cette faille de sécurité. Par conséquent, Cisco conseille aux clients de mettre à niveau vers une version logicielle fixe.
| Version du logiciel de l’appliance virtuelle Cisco Umbrella | Première version fixe |
|---|---|
| 3.2 et versions antérieures | Migrez vers une version fixe. |
| 3.3 | 3.3.2 |
L’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) a également déclaré qu’il n’y avait pas de code d’exploitation public de preuve de concept disponible en ligne pour cette vulnérabilité et a ajouté qu’elle n’était au courant d’aucune exploitation en cours dans la nature.
En novembre, Cisco a également corrigé un bug de gravité critique similaire (CVE-2021-40119) causé par les clés SSH par défaut dans le mécanisme d’authentification SSH basé sur les clés de Cisco Policy Suite, qui pourrait permettre à des attaquants non authentifiés et distants de se connecter aux systèmes concernés en tant que racine. utilisateur.
Le même jour, la société a également corrigé une deuxième faille critique (CVE-2021-34795) liée aux informations d’identification codées en dur dans le service Telnet des commutateurs Cisco Catalyst PON Series ONT qui permet aux attaquants non authentifiés de se connecter à distance à l’aide d’un compte de débogage avec un mot de passe par défaut.