Au cours des derniers jours, le fabricant a mis en ligne des dizaines de bulletins de sécurité. Certaines sont plus graves que d'autres puisqu'elles « permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité », explique le CERT-FR.
Dans le cas du Cisco Nexus 9000, un pirate peut se connecter à distance « au système affecté avec les privilèges de l'utilisateur root ». « Cette vulnérabilité est due à la présence par défaut d'une paire de clés SSH sur tous les périphériques », ajoute le constructeur.
Aucune solution de contournement n'existe, mais une mise à jour a été déployée via le firmware 14.1.
Commentaires (8)
#1
Tiens la NSA a dû trouver mieux si elle laisse ces failles être corrigées
" />
#2
On m’avait dit que les failles étaient chez Huawei, pas chez Cisco !
" />
Ah non, une faille chez Huawei s’appelle une “backdoor”, suis-je bête
#3
Mais comment peut-on “oublier” des clés SSH codées en dur, surtout dans un truc aussi sensible que le firmware des switch Cisco ?
Quand je vois le niveau de sécurité demandé par les USA pour des appareils bien moins critiques qu’un switch (cf. “IoT Cybersecurity Act”), ca laisse perplexe…
#4
Lire les deux premiers commentaires aurait dû te mettre sur la piste
" />
#5
Sincèrement, la France devrait bannir les équipements Cisco.
Une paire de clé ssh pour ouvrir un shell root, c’est ni une faille, ni un bug, ni un oublie, … C’est une backdoor volontairement laissé ouverte.
#6
C’est exactement ça
" />
#7
OK.
Tu peux me trouver un truc équivalent, que ce soit en capacités fonctionnelles et performances, à un Nexus 9000, s’il te plait?
Et tant qu’à faire, dans un esprit d’uniformisation d’un SI, l’équivalent de toute la gamme Nexus, pas uniquement un gros coeur de réseau comme le 9k?
Ah, et en bonus, dans ta solution concurrente, intègre le coût du déploiement et de l’exploitation, qui seront nécessairement majorés par la formation et/ou l’achat de prestations auprès du constructeur (car cisco, c’est un peu le Microsoft du réseau: on a beau les critiquer, leur catalogue est le plus dense et tout ingé réseau connait à minima les IOS, même si il y a des différences entre les gammes de produits)
#8
Vu que tu parles de 9K précisément, je partirai du postula que tu gères des dizaines de rack en DC. Et c’est pas de ma faute si tu t’es bloqué tout seul dans ta topology centralisé à base de fex :) Dans l’ère actuelle du “tout routé”, je t’assure que Cisco est loin d’être seul sur le marché, tu peux déjà commencer à aller voir du coté d’Arista par exemple, qui font du matos très performant (pour ainsi dire équivalent, vu qu’ils utilisent les même ASIC que Juniper, que Cisco utilise aussi dans certain de ses routeurs au passage), avec des features L3 équivalentes, et pour bien moins cher.
Pour revenir sur le sujet de la news. Des pays bannissent Huawey pour ses backdoor, mais Cisco non, c’est pas pareil… deux poids, deux mesures. Mon commentaire est volontairement exagéré, mais sur la logique, je suis dans les clous. Et t’es quand même en train de dire que t’es prêt à installer des routeurs “backdoorés” pourvu que ça soit simple à gérer pour toi… Ok… C’est ton point de vu… Mais comprends que ça ne soit pas le point de vue de tout le monde.
Concernant l’uniformisation, si ton infra est industrialisé, et automatisé, ça n’est pas un problème. Bien sûre, si tout est fait à la main… Je peux comprendre ton point de vue.
Et pour finir sur l’uniformisation, franchement, c’est clairement pas le point fort de Cisco. Chaque gamme est le rachat d’une techno, ils essayent de masqué tout ca sous iOS, mais à part la CLI qui se ressemble, c’est jamais pareil. Ose me dire qu’un PIX ou ASA, qu’un routeur gamme 2800, un bon vieux 2950 et un nexus s’administre de la meme facon…