22/11/2024

Actu Cybersécurité

Cette faille de sécurité dans les switchs Cisco a été exploitée par des pirates

Cisco a corrigé une faille de sécurité zero-day dans le système NX-OS de ses switchs Cisco Nexus ! Elle a été exploitée en avril dernier dans le cadre de cyberattaques ! Faisons le point sur cette menace.

Désormais associée à la référence CVE-2024-20399, cette faille de sécurité présente dans NX-OS a été exploitée par les cybercriminels de Velvet Ant, un groupe sponsorisé par l'État chinois. L'entreprise Sygnia, qui a suivi de près l'activité de ces cybercriminels, a déclaré : "Sygnia a détecté cette exploitation dans le cadre d'une enquête judiciaire plus large sur le groupe de cyberespionnage China-nexus que nous suivons sous le nom de Velvet Ant."

Bien qu'elle ait été exploitée en avril 2024 par des cybercriminels, cette faille de sécurité nécessite au préalable un accès en tant qu'administrateur au switch Cisco Nexus. Voici les précisions apportées par Cisco dans son bulletin de sécurité : "Une vulnérabilité dans le CLI du logiciel Cisco NX-OS pourrait permettre à un attaquant local authentifié d'exécuter des commandes arbitraires en tant que root sur le système d'exploitation sous-jacent d'un appareil affecté."

Cisco fait notamment référence aux utilisateurs "network-admin" et "vdc-admin", qu'il est recommandé de surveiller. L'exploitation de cette vulnérabilité permet de l'exécution de code en tant que root, ce qui permet aux pirates d'exécuter du code malveillant et de prendre le contrôle à distance de l'appareil compromis.

L'entreprise américaine fournie également quelques précisions sur la cause de cette faiblesse dans NX-OS : "Cette vulnérabilité est due à une validation insuffisante des arguments transmis à des commandes de configuration CLI spécifiques. Un attaquant peut exploiter cette vulnérabilité en incluant une entrée spéciale en tant qu'argument d'une commande CLI de configuration affectée."

Qui est affecté ? Comment se protéger ?

Ci-dessous, la liste des produits Cisco affectés par la faille de sécurité CVE-2024-20399 :

  • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Switches (standalone mode)

Il y a ensuite des subtilités sur certains modèles, en fonction de la version de NX-OS utilisées. De plus, Cisco a dressé la liste des produits qui ne sont pas vulnérables. Nous vous recommandons de vous référer directement au bulletin de sécurité Cisco.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.