Cisco a confirmé qu'une vulnérabilité de contournement d'authentification dans son contrôleur Catalyst SD-WAN est activement exploitée. Cette faille permet à des attaquants distants non authentifiés de contourner les contrôles d'accès et d'obtenir des privilèges administratifs complets sur le système. L'entreprise recommande d'appliquer les correctifs de sécurité disponibles et de revoir les configurations pour réduire le risque de compromission.
Détails techniques du contournement d'authentification 🔐
La vulnérabilité, identifiée sous le nom CVE-2024-XXXX, réside dans le mécanisme d'authentification du contrôleur SD-WAN. Un attaquant peut envoyer des requêtes HTTP manipulées pour contourner la vérification des identifiants. Cela accorde un accès total à l'interface d'administration, permettant de modifier les règles de trafic, d'extraire des données ou de déployer des configurations malveillantes. Cisco a publié des mises à jour du firmware pour les versions concernées. Les administrateurs doivent prioriser l'installation de ces correctifs et segmenter le réseau de gestion pour limiter l'exposition.
La porte ouverte que personne n'a demandée 🚪
Il semble que Cisco ait décidé d'inclure une fonction non documentée : un accès VIP pour tout visiteur. Pas besoin de mot de passe, ni d'utilisateur, ni même d'un sourire aimable. Juste une requête bien formée et voilà, vous êtes administrateur. C'est comme laisser les clés de la voiture sur le contact avec le moteur allumé dans un quartier difficile. Heureusement que les attaquants sont aimables et nous préviennent en l'exploitant.