De graves vulnérabilités dans Cisco Nexus Dashboard offrent aux attaquants un moyen viable d’exécuter des commandes arbitraires en tant que root, de télécharger des fichiers image de conteneur ou d’effectuer des attaques de falsification de requête intersite (CSRF).

Découvert via des tests internes, le trio de bogues non authentifiés – un critique, deux de gravité élevée – a été corrigé dans la dernière mise à jour logicielle de la plate-forme de gestion du centre de données.

Cisco a déclaré qu’il n’était au courant d’aucun abus malveillant dans la nature de la vulnérabilité.

API vulnérable

Le problème le plus grave, obtenant un score CVSS critique de 9,8, pourrait permettre à un attaquant d’accéder à une API vulnérable s’exécutant sur le réseau de données et d’exécuter des commandes arbitraires (CVE-2022-20857).

La vulnérabilité peut être exploitée en envoyant des requêtes HTTP spécialement conçues à l’API, ce qui, grâce à des contrôles d’accès insuffisants, signifie qu’un attaquant peut « exécuter des commandes arbitraires en tant qu’utilisateur root dans n’importe quel pod sur un nœud », lit un conseil en sécurité publié le 20 juillet.

Le plus grave des deux problèmes de gravité élevée est le bogue CSRF (CVSS 8.8), qui existe dans l’interface utilisateur Web exécutée dans le réseau de gestion.

La vulnérabilité (CVE-2022-20861) est exploitable « en persuadant un administrateur authentifié de l’interface de gestion basée sur le Web de cliquer sur un lien malveillant », a déclaré Cisco. S’ils y parvenaient, les attaquants pourraient alors « effectuer des actions avec des privilèges d’administrateur sur un appareil affecté ».

Enfin, une faille avec une note CVSS de 8,2 (CVE-2022-20858) expose le service qui gère les images de conteneurs dans les réseaux de données et de gestion.

En raison de contrôles d’accès insuffisants, la vulnérabilité peut être exploitée « en ouvrant une connexion TCP au service affecté » et en téléchargeant des images de conteneur ou en téléchargeant des images de conteneur malveillantes sur un appareil affecté. « Les images malveillantes seraient exécutées après le redémarrage de l’appareil ou du redémarrage d’un pod », a ajouté Cisco.

Les versions vulnérables de Cisco Nexus Dashboard – anciennement connu sous le nom de Cisco Application Services Engine – sont 1.1, 2.0, 2.1 et 2.2 (bien que la version 1.1 ne soit pas affectée par CVE-2022-20858). Les trois failles ont été corrigées dans la version 2.2(1e).

Cisco n’a pas été en mesure de fournir des solutions de contournement pour atténuer les risques.