L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a révélé que des acteurs malveillants exploitaient l’ancien système Cisco Smart Install (SMI) dans le but d’accéder à des données sensibles.
L’agence dit il a vu des adversaires « acquérir des fichiers de configuration système en exploitant les protocoles ou les logiciels disponibles sur les appareils, par exemple en abusant de la fonctionnalité héritée Cisco Smart Install ».
L’entreprise a également déclaré qu’elle continuait d’observer des types de mots de passe faibles utilisés sur les périphériques réseau Cisco, les exposant ainsi à des attaques de piratage de mots de passe. Les types de mots de passe font référence aux algorithmes utilisés pour sécuriser le mot de passe d’un périphérique Cisco dans un fichier de configuration système.
Les acteurs malveillants qui parviennent à accéder à l’appareil de cette manière pourraient facilement accéder aux fichiers de configuration du système, facilitant ainsi une compromission plus profonde des réseaux des victimes.
« Les organisations doivent s’assurer que tous les mots de passe sur les périphériques réseau sont stockés avec un niveau de protection suffisant », a déclaré la CISA, ajoutant qu’elle recommande «mot de passe de type 8 protection pour tous les périphériques Cisco afin de protéger les mots de passe dans les fichiers de configuration.
Elle exhorte également les entreprises à revoir la politique de sécurité nationale de l’Agence de sécurité nationale (NSA). Avis d’utilisation abusive du protocole Smart Install et Guide de sécurité de l’infrastructure réseau pour obtenir des conseils de configuration.
Les bonnes pratiques supplémentaires incluent l’utilisation d’un algorithme de hachage puissant pour stocker les mots de passe, en évitant la réutilisation des mots de passe, en attribuant des mots de passe forts et complexes et en s’abstenant d’utiliser des comptes de groupe qui n’offrent pas de responsabilité.
Le développement intervient alors que Cisco averti de la disponibilité publique d’un code de preuve de concept (PoC) pour CVE-2024-20419 (score CVSS : 10,0), une faille critique affectant Smart Software Manager On-Prem (Cisco SSM On-Prem) qui pourrait permettre à un attaquant distant non authentifié de modifier le mot de passe de n’importe quel utilisateur.
Le fabricant d’équipements réseau a également alerté sur plusieurs lacunes critiques (CVE-2024-20450, CVE-2024-20452 et CVE-2024-20454, scores CVSS : 9,8) dans les téléphones IP Small Business SPA300 Series et SPA500 Series qui pourraient permettre à un attaquant d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent ou de provoquer une condition de déni de service (DoS).
« Ces vulnérabilités existent parce que les paquets HTTP entrants ne sont pas correctement vérifiés pour détecter les erreurs, ce qui pourrait entraîner un dépassement de mémoire tampon », a déclaré Cisco. dit dans un bulletin publié le 7 août 2024.
« Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP spécialement conçue à un appareil affecté. Une exploitation réussie pourrait permettre à l’attaquant de faire déborder un tampon interne et d’exécuter des commandes arbitraires au niveau de privilège root. »
La société a déclaré qu’elle n’avait pas l’intention de publier des mises à jour logicielles pour corriger les failles, car les appareils ont atteint le statut de fin de vie (EoL), ce qui nécessite que les utilisateurs passent à des modèles plus récents.