Sécurité : Cisco émet un correctif à déployer d’urgence
Une clé SSH par défaut permet de se connecter sans authentification aux équipements de sécurité concernés, avec des privilèges de niveau root.
Il y a urgence à déployer le correctif diffusé par Cisco pour plusieurs de ses équipements de sécurité : ceux-ci sont en effet livrés avec des clés de chiffrement par défaut, exposant leurs utilisateurs à d’importants incidents de sécurité.
L’équipementier a commencé à diffuser une mise à jour de sécurité après qu’il a été découvert que les versions distribuées avant le 25 juin dernier de ses appliances virtuelles de sécurité Web (WSAv), e-mail (ESAv) et d’administration de la sécurité (SMAv) étaient vulnérables.
La présence d’une clé SSH autorisée par défaut pourrait permettre à un attaquant non authentifié d’accéder à distance aux systèmes affectés avec des privilèges de niveau root, explique Cisco dans une alerte.
Mais la vulnérabilité est en fait double. La présence de clés SSH hôtes par défaut ajoutent au problème, permettant « à un attaquant distant non authentifié de déchiffrer les communications sécurisées entre toutes les appliances de sécurité des contenus », en usurpant l’identité d’un hôte. Une attaque de type man-in-the-middle parfaitement transparente, en somme.
Cisco assure ne pas avoir connaissance d’annonces publiques ni d’utilisation malveillante de ces vulnérabilités. Mais les entreprises utilisant les équipements concernés ne devaient toutefois pas attendre pour déployer les correctifs.
« C’est bien qu’il y ait une mise à jour pour résoudre ce problème. Mais les clients doivent l’appliquer pour être protégés », souligne Tim Erlin, directeur sécurité et gestion de produits chez Tripwire, ajoutant « qu’il y a souvent un écart entre disponibilité d’un correctif et son déploiement effectif, ouvrant une fenêtre de risque ».
Surtout, pour lui, « puisque des appliances virtuelles sont affectées, il est possible que certaines images restent dormantes dans l’infrastructure, lors du premier cycle de mise à jour, et introduisent la vulnérabilité par la suivant, lors de leur activation ».
Selon Erlin, il est également difficile d’évaluer l’étendue de l’impact de cette vulnérabilité sans savoir combien de produits affectés sont installés dans des environnements de production.
La mise à jour proposée par Cisco supprime les clés SSH pré-installées et fournit des instructions sur la manière de régler le problème. Elle doit être installée en ligne de commande.
Les appliances virtuelles et physiques de Cisco distribuées après le 25 juin 2015 ne sont pas affectées.