Risque
- Trafic non sollicité ;
- camouflage d'identité.
Systèmes affectés
- Content Engine 507, 560, 590, ou 7320 avec les versions de cache software 2.x, 3.1,4.0.x, ou 4.1.x ;
- Cache Engine 505, 550, ou 570 avec une version de logiciel 2.2.0 ou précédente ;
- Content Router CR-4430 avec ACNS 4.x ;
- Content Distribution Manager CDM-4630 ou CDM-4650 avec ACNS 4.x.
Résumé
Un utilisateur mal intentionné peut exploiter une vulnérabilité afin de camoufler son identité et d'effectuer des activités illégales.
Description
Les produits Cache Engine et Content Engine de CISCO possèdent des fonctionnalités de cache transparent pour des pages web, ainsi que de serveurs mandataires (proxies) supportant de nombreux protocoles. La configuration par défaut de cette dernière fonctionnalité peut permettre à un individu mal intentionné d'effectuer des connexions réseau non sollicitées et de masquer son identité.
Solution
Il est recommandé :
- soit de désactiver la fonction de serveur mandataire HTTPS si celle-ci n'est pas nécessaire :
https destination-port deny all - soit de filtrer les requêtes pour les ports autre que HTTPS (443/TCP) :
https destination-port allow 443
https destination-port deny all
Se référer au bulletin de sécurité CISCO pour obtenir plus d'informations (cf. Documentation).
Documentation
Bulletin de sécurité CISCO "Transparent Cache Engine and Content Engine TCP Relay Vulnerability" :
http://www.cisco.com/warp/public/707/transparentcache-tcp-relay-vuln-pub.shtml
