Cisco a publié des mises à jour pour corriger une faille de sécurité critique affectant Emergency Responder, qui permet à des attaquants distants non authentifiés de se connecter à des systèmes sensibles à l’aide d’informations d’identification codées en dur.
La vulnérabilité, suivie comme CVE-2023-20101 (score CVSS : 9,8), est dû à la présence d’informations d’identification d’utilisateur statiques pour le compte root qui, selon la société, sont généralement réservées à une utilisation pendant le développement.
« Un attaquant pourrait exploiter cette vulnérabilité en utilisant le compte pour se connecter à un système affecté », a déclaré Cisco. dit dans un avis. « Un exploit réussi pourrait permettre à l’attaquant de se connecter au système affecté et d’exécuter des commandes arbitraires en tant qu’utilisateur root. »
Le problème concerne Cisco Emergency Responder version 12.5(1)SU4 et a été résolu dans la version 12.5(1)SU5. Les autres versions du produit ne sont pas impactées.
Le fabricant d’équipements réseau a déclaré avoir découvert le problème lors de tests de sécurité internes et n’avoir connaissance d’aucune utilisation malveillante de la vulnérabilité dans la nature.
La divulgation intervient moins d’une semaine après que Cisco a averti d’une tentative d’exploitation d’une faille de sécurité dans ses logiciels IOS et IOS XE (CVE-2023-20109, score CVSS : 6,6) qui pourrait permettre à un attaquant distant authentifié d’exécuter du code à distance sur systèmes concernés.
En l’absence de solutions temporaires, il est recommandé aux clients de mettre à jour vers la dernière version pour atténuer les menaces potentielles.