Risque

  • Accès à distance à un service ;
  • contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • Cisco Security Manager versions 3.1.x ;
  • Cisco Security Manager versions 3.2.x antérieures à 3.2.2.

Résumé

Une vulnérabilité dans Cisco Security Manager permet d'accéder à distance au service IPS Event Viewer.

Description

Cisco IPS Event Viewer (IEV) est un service de Cisco Security Manager (CSM) qui permet de visualiser et gérer les alertes de sécurité de cinq capteurs maximum. L'accès à ce service permet de configurer les filtres, d'importer et d'exporter des journaux, etc.

IEV est installé par défaut dans Cisco Security Manager mais n'est pas automatiquement démarré. Lorsqu'IEV est démarré, de nombreux ports TCP sont ouverts à la fois sur le serveur et sur le client. Lorsque le client IEV arrête sa session, les ports TCP du client sont fermés, mais pas ceux du serveur. En se connectant directement à un des ports TCP serveur, un utilisateur malintentionné peut obtenir un accès administrateur au service IEV et à sa base de données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation