Cisco a publié des mises à jour de sécurité pour résoudre une vulnérabilité de gravité élevée dans l’appliance virtuelle Cisco Umbrella, permettant à des attaquants non authentifiés de voler des informations d’identification d’administrateur à distance.
Fraser Hess de Pinnacol Assurance a découvert la faille dans le mécanisme d’authentification SSH basé sur une clé de Cisco Umbrella VA. Cisco Umbrella, un service de sécurité fourni par le cloud utilisé par plus de 24 000 organisations comme couche de sécurité DNS contre les attaques de phishing, de logiciels malveillants et de ransomwares, utilise ces machines virtuelles sur site comme redirecteurs DNS conditionnels qui enregistrent, chiffrent et authentifient les données DNS.
“Cette vulnérabilité est due à la présence d’une clé d’hôte SSH statique. Un attaquant pourrait exploiter cette vulnérabilité en effectuant une attaque de type “man-in-the-middle” sur une connexion SSH à Umbrella VA”, a expliqué Cisco.
Heureusement, Cisco affirme que le service SSH n’est pas activé par défaut sur les machines virtuelles Umbrella sur site, ce qui réduit considérablement l’impact global de la vulnérabilité.
En novembre, Cisco a également corrigé un bogue de gravité critique similaire causé par les clés SSH par défaut dans le mécanisme d’authentification SSH basé sur les clés de Cisco Policy Suite, qui pouvait permettre à des attaquants non authentifiés et distants de se connecter aux systèmes concernés en tant qu’utilisateur root.
Le même jour, la société a également corrigé une deuxième faille critique liée aux informations d’identification codées en dur dans le service Telnet des commutateurs ONT de la série Cisco Catalyst PON qui permet aux attaquants non authentifiés de se connecter à distance à l’aide d’un compte de débogage avec un mot de passe par défaut.