Vasiliy Koval - Fotolia
Sécurité : Cisco, victime de l’étendue de son offre et de son succès ?
L’équipementier vient de corriger, pour la cinquième fois depuis le début de l’année, un cas de compte utilisateur non documenté permettant d’accéder à des privilèges d’administration sur les systèmes affectés. Mais cela en fait-il un mauvais élève de la sécurité ?
Sur Twitter, Fabian Rodes, expert en sécurité des systèmes d’information et en sécurité économique pour Fasis Consulting, n’y va pas quatre chemins. Pour lui, « avec les produits Cisco, c’est votre propre sécurité qui meurt ». Il rebondit sur un message diffusé par les services marketing de l’équipementier sur les services managés qu’il propose en cybersécurité.
Car Cisco vient de lancer un long train de correctifs à 25 wagons, dont quatre critiques. L’une d’entre elles l’est tout particulièrement : elle peut permettre « à un attaquant distant non authentifié d’ouvrir une session sur un système affecté en utilisant le compte root » dont le mot de passe est tout simplement codé en dur. C’est l’administrateur de grappes de Cisco Policy Suite qui est affecté.
Des comptes administratifs en rafale
Surtout, ce type de vulnérabilité peut apparaître un peu trop fréquent chez l’équipementier. Début juin, Cisco a ainsi corrigé une vulnérabilité de cette nature dans son logiciel Wide Area Application Services (Waas), et en particulier dans son service SNMP (protocole simple de gestion de réseau). Ce n’était que deux semaines après un autre correctif, toujours pour une vulnérabilité de même nature, affectant cette fois-ci le Digital Network Architecture (DNA) Center de l’équipementier.
Mais ce n’est pas tout ! Fin mars, Cisco a aussi corrigé une vulnérabilité de cette nature dans IOS XE. C’était trois semaines après une autre dans son outil d’administration des services collaboratifs et de communications unifiées, Prime Collaboration Provisioning (PVP). Et il convient de ne pas oublier le cas du portail de service du contrôleur de services élastiques.
Depuis le début de l’année, ce sont donc rien moins que 6 de ce que certains ne manquent pas de qualifier de portes dérobées, qui ont été refermées pour de bon dans les produits de l’équipementier. Mais ce chiffre est-il véritablement exceptionnel ? Il est en tout cas étonnamment élevé. En 2017, Cisco a découvert et corrigé cinq vulnérabilités liées à des identifiants « statiques », « par défaut » - dans son appliance virtuelle Umbrella Insights, son appliance de sécurité Web, son Elastic Services Controller, le serveur Prime Data Center Network Manager, et encore l’Ulra Services Framework Element Manager.
Fin 2015, le tournant
L’année 2016 avait été plus riche avec 8 vulnérabilités de cette nature corrigées, notamment les commutateurs Nexus 3000/3500, le logiciel IOS XR, ou encore Intercloud Fabric (Director et base de données), sans oublier le logiciel système Firepower lié à l’offre de cybersécurité de Cisco. Les années précédentes ont été globalement plus calmes, avec seulement une poignée de vulnérabilités de cette nature corrigées entre 2013 et 2015.
C’est en fait à la fin de cette année-là que l’équipementier a voulu rassurer et s’est officiellement engagé à se pencher sur la question des « portes dérobées » et autres comptes non documentés ou codés en dur. Cette décision faisait suite à la découverte d’une porte dérobée découverte dans les équipements Juniper et déposée là par un tiers.
Et il y avait de quoi, car les révélations sur les activités présumées de l’agence américaine du renseignement (NSA) étaient passées par là. Début 2014, John Chambers, alors Pdg de Cisco, s’alarmait du climat de défiance généré par celles-ci. Mais à l’été 2015, FireEye a découvert une attaque furtive visant le firmware des routeurs Cisco, afin de s’assurer une présence persistante sur les réseaux compromis. Aucun lien avec l’agence américaine du renseignement n’a été établi, mais cette menace, baptisée SYNful Knock, s’est avérée plus répandue que ne l’imaginaient initialement les experts et donnait de quoi alimenter la suspicion.
Des efforts importants
Mais là, il ne s’agissait pas de comptes administratifs configurés ou laissés là par erreur, mais de l’exploitation de véritables vulnérabilités logicielles. Et force est de constater que Cisco s’est attelé à celles-ci avec détermination. L’équipementier recense 153 vulnérabilités critiques liées permettant des accès non authentifiés à ses produits, corrigées depuis 2007, dont près de 80, soit plus de la moitié, depuis le début du mois de janvier 2016. Et si, au final, on ne compte que 18 vulnérabilités critiques, depuis 2009, susceptibles de permettre à un attaquant de prendre le contrôle complet d’un système, 8 d’entre elles ont été découvertes à partir de 2016, dont une affectant ASA (un NGFW) et dévoilée en janvier dernier.
Rapportés à l’étendue du portefeuille de produits de Cisco, ces chiffres n’apparaissent toutefois pas si impressionnants. Surtout comparés à ceux de quelques concurrents à l’offre plus restreinte. Ainsi, Palo Alto Networks recense 4 vulnérabilités permettant l’exécution de code à distance par un attaquant, depuis 2016. Sur la même période, on trouve 8 vulnérabilités de risque de niveau 5, le maximum, chez Fortinet, dont 5 portant sur des identifiants codés en dur. Quant à Juniper, si son portail d’information sur les vulnérabilités pourrait gagner en clarté, son moteur de recherche fait ressortir trois cas d’identifiants codés en dur depuis 2016, et 9 bulletins d’information portant sur des mises à jour comblant notamment des vulnérabilités pouvant conduire à l’exécution de code arbitraire à distance.