Introduction
Cisco a récemment publié un avis de sécurité concernant plusieurs vulnérabilités découvertes dans les commutateurs de la série Cisco Small Business. Ces vulnérabilités pourraient permettre à un attaquant non authentifié et distant de causer un déni de service (DoS) ou d’exécuter du code arbitraire avec des privilèges root sur un appareil concerné. Les vulnérabilités sont dues à une validation incorrecte des requêtes envoyées à l’interface utilisateur web.
Produits affectés
Les produits vulnérables comprennent les commutateurs suivants de la série Cisco Small Business s’ils exécutent une version de micrologiciel vulnérable :
- Commutateurs intelligents de la série 250
- Commutateurs gérés de la série 350
- Commutateurs empilables gérés de la série 350X
- Commutateurs empilables gérés de la série 550X
- Commutateurs intelligents de la série Business 250
- Commutateurs gérés de la série Business 350
- Commutateurs intelligents de la série Small Business 200
- Commutateurs gérés de la série Small Business 300
- Commutateurs empilables gérés de la série Small Business 500
Les produits qui ne sont pas mentionnés dans la section des produits vulnérables ne sont pas affectés par ces vulnérabilités.
Détails des vulnérabilités
Les vulnérabilités ne dépendent pas les unes des autres. L’exploitation d’une vulnérabilité n’est pas nécessaire pour exploiter une autre vulnérabilité. De plus, une version logicielle affectée par l’une des vulnérabilités peut ne pas être affectée par les autres vulnérabilités.
Les détails des vulnérabilités sont les suivants :
- CVE-2023-20159 : Vulnérabilité de débordement de tampon d’empilement dans les commutateurs de la série Cisco Small Business
- CVE-2023-20160 : Vulnérabilité de débordement de tampon BSS non authentifiée dans les commutateurs de la série Cisco Small Business
- CVE-2023-20161 : Vulnérabilité de débordement de tampon d’empilement non authentifiée dans les commutateurs de la série Cisco Small Business
- CVE-2023-20189 : Vulnérabilité de débordement de tampon d’empilement non authentifiée dans les commutateurs de la série Cisco Small Business
- CVE-2023-20024 : Vulnérabilité de débordement de tampon de tas non authentifiée dans les commutateurs de la série Cisco Small Business
- CVE-2023-20156 : Vulnérabilité de débordement de tampon de tas non authentifiée dans les commutateurs de la série Cisco Small Business
- CVE-2023-20157 : Vulnérabilité de débordement de tampon de tas non authentifiée dans les commutateurs de la série Cisco Small Business
- CVE-2023-20158 : Vulnérabilité de déni de service non authentifiée dans les commutateurs de la série Cisco Small Business
- CVE-2023-20162 : Vulnérabilité de lecture de configuration non authentifiée dans les commutateurs de la série Cisco Small Business
Ces vulnérabilités sont dues à une validation incorrecte des requêtes envoyées à l’interface utilisateur web. Un attaquant pourrait exploiter ces vulnérabilités en envoyant une requête malveillante via l’interface utilisateur web. Une exploitation réussie pourrait permettre à l’attaquant d’exécuter du code arbitraire avec des privilèges root sur l’appareil ciblé, ou de provoquer un déni de service.
Pour remédier à ces vulnérabilités, Cisco a publié des mises à jour logicielles. Aucune solution de contournement n’est disponible pour résoudre ces vulnérabilités.
Impacts et mesures de sécurité
Les vulnérabilités mentionnées ci-dessus ont été évaluées comme étant de gravité critique. Elles peuvent permettre à un attaquant d’exécuter du code arbitraire avec des privilèges élevés ou de provoquer un déni de service sur les appareils concernés.
Cisco recommande aux utilisateurs de mettre à jour leur micrologiciel vers les versions corrigées. Les mises à jour sont disponibles via les canaux habituels de mise à jour pour les clients disposant de contrats de service.
Les clients qui ne disposent pas de contrats de service doivent contacter le centre d’assistance technique de Cisco pour obtenir les mises à jour logicielles nécessaires.
Conclusion
Les vulnérabilités découvertes dans les commutateurs de la série Cisco Small Business présentent des risques de sécurité critiques. Il est essentiel pour les utilisateurs concernés de mettre à jour leur micrologiciel vers les versions corrigées afin de prévenir toute exploitation malveillante. Cisco continue de surveiller attentivement la situation et de fournir des mises à jour de sécurité pour garantir l’intégrité et la protection des appareils concernés.
