CERTFR-2017-ALE-005
Vulnerability from certfr_alerte

Une vulnérabilité a été découverte dans les commutateurs Cisco. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Description

Une vulnérabilité dans l'implémentation du Cisco Cluster Management Protocol (CMP) permet une exécution de code à distance dans les commutateurs Cisco exécutant Cisco IOS ou Cisco IOS XE.
Se référer au bulletin de l'éditeur pour une liste exhaustive des produits impactés (cf. section Documentation).
Ce protocole utilise le service Telnet afin que les membres d'un groupe puissent dialoguer entre eux.
Cette vulnérabilité est due à deux facteurs.
Le premier est que les communications Telnet sont traitées même si elles proviennent d'en dehors du groupe.
Le deuxième est qu'une session Telnet spécifique à CMP peut provoquer un débordement de tampon.
A noter que le seul fait de commuter une trame comportant une charge malveillante ne suffit pas à déclencher la vulnérabilité, la communication piégée doit être destinée à l'équipement vulnérable.
Cisco n'a pas annoncé de date de sortie d'un correctif de sécurité.
En attendant, le CERT-FR recommande dans un premier temps de suivre les bonnes pratiques en matière de sécurité informatique en s'assurant que l'accès aux interfaces d 'administration des équipements réseaux soit restreint à un canal interne de confiance.
Ensuite, le CERT-FR recommande de privilégier le protocole SSH à Telnet.
Enfin, si désactiver les communications Telnet n'est pas une option viable, Cisco fournit des règles de détection réseau (cf. section Documentation).
A noter que les règles de détection SNORT 41909 et 41910 sont disponibles gratuitement à condition d'avoir créé un compte Snort. Celles-ci sont contenues dans le fichier server-other.so et sont de type TRUFFLEHUNTER, c'est à dire que leur contenu est dissimulé.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

les commutateurs Cisco exécutant Cisco IOS ou Cisco IOS XE

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eles commutateurs Cisco ex\u00e9cutant Cisco IOS ou Cisco IOS XE\u003c/P\u003e",
  "closed_at": "2017-05-10",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 dans l\u0027impl\u00e9mentation du Cisco Cluster Management\nProtocol (CMP) permet une ex\u00e9cution de code \u00e0 distance dans les\ncommutateurs Cisco ex\u00e9cutant Cisco IOS ou Cisco IOS XE.  \nSe r\u00e9f\u00e9rer au bulletin de l\u0027\u00e9diteur pour une liste exhaustive des\nproduits impact\u00e9s (cf. section Documentation).  \nCe protocole utilise le service Telnet afin que les membres d\u0027un groupe\npuissent dialoguer entre eux.  \nCette vuln\u00e9rabilit\u00e9 est due \u00e0 deux facteurs.  \nLe premier est que les communications Telnet sont trait\u00e9es m\u00eame si elles\nproviennent d\u0027en dehors du groupe.  \nLe deuxi\u00e8me est qu\u0027une session Telnet sp\u00e9cifique \u00e0 CMP peut provoquer un\nd\u00e9bordement de tampon.  \nA noter que le seul fait de commuter une trame comportant une charge\nmalveillante ne suffit pas \u00e0 d\u00e9clencher la vuln\u00e9rabilit\u00e9, la\ncommunication pi\u00e9g\u00e9e doit \u00eatre destin\u00e9e \u00e0 l\u0027\u00e9quipement vuln\u00e9rable.  \nCisco n\u0027a pas annonc\u00e9 de date de sortie d\u0027un correctif de s\u00e9curit\u00e9.  \nEn attendant, le CERT-FR recommande dans un premier temps de suivre les\nbonnes pratiques en mati\u00e8re de s\u00e9curit\u00e9 informatique en s\u0027assurant que\nl\u0027acc\u00e8s aux interfaces d \u0027administration des \u00e9quipements r\u00e9seaux soit\nrestreint \u00e0 un canal interne de confiance.  \nEnsuite, le CERT-FR recommande de privil\u00e9gier le protocole SSH \u00e0\nTelnet.  \nEnfin, si d\u00e9sactiver les communications Telnet n\u0027est pas une option\nviable, Cisco fournit des r\u00e8gles de d\u00e9tection r\u00e9seau (cf. section\nDocumentation).  \nA noter que les r\u00e8gles de d\u00e9tection SNORT 41909 et 41910 sont\ndisponibles gratuitement \u00e0 condition d\u0027avoir cr\u00e9\u00e9 un compte Snort.\nCelles-ci sont contenues dans le fichier server-other.so et sont de type\nTRUFFLEHUNTER, c\u0027est \u00e0 dire que leur contenu est dissimul\u00e9.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2017-3881",
      "url": "https://www.cve.org/CVERecord?id=CVE-2017-3881"
    }
  ],
  "initial_release_date": "2017-03-20T00:00:00",
  "last_revision_date": "2017-05-10T00:00:00",
  "links": [
    {
      "title": "Avis CERT-FR CERTFR-2017-AVI-143",
      "url": "http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-143/index.html"
    },
    {
      "title": "Cisco IOS CMP Buffer Overflow",
      "url": "https://tools.cisco.com/security/center/viewIpsSignature.x?signatureId=7880\u0026signatureSubId=0\u0026softwareVersion=6.0\u0026releaseVersion=S972"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-20170317-cmp du 17 mars    2017",
      "url": "https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp"
    },
    {
      "title": "Snort",
      "url": "https://www.snort.org/downloads"
    }
  ],
  "reference": "CERTFR-2017-ALE-005",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2017-03-20T00:00:00.000000"
    },
    {
      "description": "cl\u00f4ture de l\u0027alerte.",
      "revision_date": "2017-05-10T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans \u003cspan class=\"textit\"\u003eles\ncommutateurs Cisco\u003c/span\u003e. Elle permet \u00e0 un attaquant de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans les commutateurs Cisco",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-20170317-cmp du 17 mars 2017",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.