Le chercheur en sécurité Aaron Thacker souhaitait simplement créer un serveur à partir d'une appliance Cisco. Il a découvert une vulnérabilité dans l'interface de gestion Web du contrôleur de gestion intégré Cisco. Il a ensuite installé Doom et l'a joué en démo dans la console de gestion.
Le chercheur en sécurité Aaron Thacker n'a réussi à pirater qu'une appliance de sécurité de messagerie Cisco C195, mais la vulnérabilité affecte toute une gamme d'appareils Cisco. Thacker voulait simplement créer un serveur à partir de l'appliance et a découvert la vulnérabilité lors de la conversion.. Il a alors lancé une série d'attaques :
- Il a modifié le BIOS pour rendre CIMC accessible au réseau.
- Il a ensuite attaqué le système de gestion CIMC sur le réseau pour obtenir un accès root à un composant critique du système via une vulnérabilité d'exécution de commande à distance (CVE-2024-20356).
- Enfin, la chaîne de démarrage sécurisé pourrait être compromise en modifiant le PID de l'appareil pour permettre l'utilisation d'autres clés de démarrage sécurisé.
Vulnérabilité exploitée – installé et joué à Doom
🔎 Le chercheur en sécurité Aaron Thacker a craqué l'appliance Cisco et installé Doom dans la console de gestion en guise de démo (Image : Aaron Thacker, Doom Copyrights by ID Software)
Le chercheur avait bien entendu informé Cisco au préalable et fixé une date de publication correspondante. Cisco a profité du temps et a fourni les mises à jour appropriées pour l'ensemble de la gamme de produits. Dans une déclaration de sécurité, Cisco répertorie tous les appareils concernés par la vulnérabilité. Celui-ci a une valeur CVSS de 8.7 sur 10 et est donc considéré comme très dangereux.
Cisco appelle cette vulnérabilité « Vulnérabilité d'injection de commandes dans l'interface de gestion Web du contrôleur de gestion intégré (IMC) de Cisco ». Une vulnérabilité dans l'interface de gestion Web du contrôleur de gestion intégré (IMC) de Cisco pourrait permettre à un attaquant distant authentifié de avec des privilèges administratifs pour mener des attaques par injection de commandes sur un système affecté et ses droits d'augmentation des privilèges root.
Cette vulnérabilité est due à une validation insuffisante des entrées de l'utilisateur. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des commandes contrefaites à l'interface de gestion Web du logiciel concerné. Un exploit réussi pourrait permettre à l’attaquant d’élever ses privilèges au niveau root.
Cisco fournit des mises à jour
Cisco fournit des instructions et des mises à jour pour la vulnérabilité portant l'identifiant CVE CVE-2024-20356 sur son site Web. La vulnérabilité étant considérée comme très dangereuse, Cisco recommande une mise à jour immédiate.
Plus sur Cisco.com
À propos de Cisco Cisco est la première entreprise technologique mondiale qui rend Internet possible. Cisco ouvre de nouvelles possibilités pour les applications, la sécurité des données, la transformation de l'infrastructure et l'autonomisation des équipes pour un avenir global et inclusif.