{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"IOS XE versions 17.6.x ant\u00e9rieures \u00e0 17.6.6a","product":{"name":"IOS XE","vendor":{"name":"Cisco","scada":false}}},{"description":"Cisco IOS XE si l'interface Web de gestion est accessible","product":{"name":"IOS XE","vendor":{"name":"Cisco","scada":false}}},{"description":"IOS XE sur Catalyst 3650 et 3850 versions 16.12.x ant\u00e9rieures \u00e0 16.12.10a","product":{"name":"IOS XE","vendor":{"name":"Cisco","scada":false}}},{"description":"IOS XE versions 17.3.x ant\u00e9rieures \u00e0 17.3.8a","product":{"name":"IOS XE","vendor":{"name":"Cisco","scada":false}}},{"description":"IOS XE versions 17.9.x ant\u00e9rieures \u00e0 17.9.4a","product":{"name":"IOS XE","vendor":{"name":"Cisco","scada":false}}}],"affected_systems_content":"","closed_at":"2024-02-16","content":"## Contournement provisoire\n\nDans l'attente des correctifs de s\u00e9curit\u00e9, Cisco recommande de v\u00e9rifier\nles configurations des diff\u00e9rents \u00e9quipements et de <u>d\u00e9sactiver\ncompl\u00e9tement l'interface *webui* (en HTTP et HTTPS)</u> si celle-ci est\nactiv\u00e9e.\n\nLe CERT-FR rappelle que les interfaces de gestion ne doivent \u00eatre\naccessibles que depuis un r\u00e9seau d'administration s\u00e9curis\u00e9. Se r\u00e9f\u00e9rer\naux recommandations de l'ANSSI relatives \u00e0 l'administration s\u00e9curis\u00e9e\ndes syst\u00e8mes d'information (cf. section Documentation)\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).","cves":[{"name":"CVE-2023-20198","url":"https://www.cve.org/CVERecord?id=CVE-2023-20198"},{"name":"CVE-2023-20273","url":"https://www.cve.org/CVERecord?id=CVE-2023-20273"}],"links":[{"title":"Avis CERT-FR CERTFR-2023-AVI-0878 du 23 octobre 2023","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0878/"},{"title":"Recommandations de l'ANSSI relatives \u00e0 l'administration s\u00e9curis\u00e9e des syst\u00e8mes d'information","url":"https://www.ssi.gouv.fr/uploads/2018/04/anssi-guide-admin_securisee_si_v3-0.pdf"}],"reference":"CERTFR-2023-ALE-011","revisions":[{"description":"Version initiale","revision_date":"2023-10-17T00:00:00.000000"},{"description":"Les versions 17.6.6a et 16.12.10a sont disponibles.","revision_date":"2023-10-30T00:00:00.000000"},{"description":"POC disponible publiquement.","revision_date":"2023-10-31T00:00:00.000000"},{"description":"La version 17.3.8a est disponible.","revision_date":"2023-11-02T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2024-02-16T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"<span style=\"color: #ff0000;\"><strong>\\[Mise \u00e0 jour du 02 novembre\n2023\\]</strong></span>\n\nLa version 17.3.8a est disponible.\n\n<strong>\\[Mise \u00e0 jour du 31 octobre 2023\\]</strong>\n\nLes d\u00e9tails techniques de la vuln\u00e9rabilit\u00e9 CVE-2023-20198 sont d\u00e9sormais\ndisponibles publiquement. Cette vuln\u00e9rabilit\u00e9 \u00e9tait d\u00e9j\u00e0 massivement\nexploit\u00e9e. Tous les \u00e9quipements exposant l'interface de gestion Web\nd'IOS XE doivent \u00eatre consid\u00e9r\u00e9s comme compromis.\n\n<strong>\\[Mise \u00e0 jour du 30 octobre 2023\\]</strong>\n\nLes versions 17.6.6a et 16.12.10a sont disponibles.\n\n<strong>\\[Mise \u00e0 jour du 23 octobre 2023\\]</strong>\n\nLe 22 octobre 2023, Cisco a mis \u00e0 jour son avis de s\u00e9curit\u00e9 pour ajouter\nla vuln\u00e9rabilit\u00e9 CVE-2023-20273. Celle-ci est activement exploit\u00e9e par\nles attaquants pour \u00e9lever leurs privil\u00e8ges \u00e0 *root* apr\u00e8s avoir cr\u00e9\u00e9 un\nutilisateur de niveau 15. Cela leur permet de placer un implant sur le\nsyst\u00e8me de fichiers de l'\u00e9quipement.\n\nLa version 17.9.4a corrige ces vuln\u00e9rabilit\u00e9s pour la branche 17.9.x. La\ndate de disponibilit\u00e9 des autres correctifs n'a pas \u00e9t\u00e9 annonc\u00e9e.\n\n<strong>\\[Publication initiale\\]</strong>\n\nLe 16 octobre 2023, Cisco a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant la\nvuln\u00e9rabilit\u00e9 CVE-2023-20198 affectant l'interface Web de gestion d'IOS\nXE (*webui*). Cette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant non authentifi\u00e9\nde cr\u00e9er un [utilisateur disposant des privil\u00e8ges de niveau\n15](https://learningnetwork.cisco.com/s/blogs/a0D3i000002eeWTEAY/cisco-ios-privilege-levels).\nCela donne acc\u00e8s \u00e0 toutes les commandes et la possibilit\u00e9 de modifier la\nconfiguration de l'\u00e9quipement vuln\u00e9rable, ce qui revient \u00e0 en prendre le\ncontr\u00f4le complet. Le score CVSSv3 de cette vuln\u00e9rabilit\u00e9 est de 10 (sur\n10).\n\nCisco <u>n'a pas encore publi\u00e9 de correctifs</u> de s\u00e9curit\u00e9 pour la\nvuln\u00e9rabilit\u00e9 CVE-2023-20198. De plus, l'\u00e9diteur indique que cette\nvuln\u00e9rabilit\u00e9 est <u>activement exploit\u00e9e</u>.\n\nL'avis de l'\u00e9diteur documente les indicateurs de compromission\npermettant de rechercher des \u00e9ventuelles exploitations de cette\nvuln\u00e9rabilit\u00e9.\n\n\u00a0\n","title":"[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Cisco IOS XE","vendor_advisories":[{"published_at":"2023-10-16","title":"Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-iosxe-webui-privesc-j22SaA4z","url":"https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z"}]}