Vulnérabilité critique de type élévation de privilège dans le logiciel Cisco IOS XE

Cisco IOS XE, développé par Cisco Systems, est un logiciel réseau polyvalent conçu pour une gestion avancée des réseaux d’entreprise. Il fonctionne sur une gamme de dispositifs tels que routeurs et commutateurs. 

L’exploitation de cette vulnérabilité résulterait de l’activation du serveur HTTP/S pour l’interface Web. Cette vulnérabilité de type élévation de privilège, identifiée sous le numéro CVE-2023-20198, permettrait à une personne malveillante distante et non authentifiée de créer un compte avec un niveau de privilège 15 sur un système compromis. L’attaquant pourrait alors prendre un contrôle total, y compris la modification des configurations et le rechargement du système. 

Cette vulnérabilité est de sévérité Critique et son score est de 10. 

IMPACT

  • Atteinte à l’intégrité des données 
  • Contournement de la politique de sécurité 
  • Exécution de code arbitraire à distance

SYSTÈMES AFFECTÉS 

  • CISCO IOS XE ayant son interface Web de gestion accessible sur internet. 

MESURES À PRENDRE 

  • Désactiver la fonctionnalité du serveur HTTP/S sur tous les systèmes Cisco IOS XE connectés à Internet. 


Source: bjCSIRT