Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service

Systèmes affectés

  • Cisco Clean Access versions 3.3.0 à 3.3.9 ;
  • Cisco Clean Access versions 3.4.0 à 3.4.5 ;
  • Cisco Clean Access versions 3.5.0 à 3.5.3.

Résumé

Une vulnérabilité dans Cisco Clean Access permet à un utilisateur mal intentionné du réseau local de provoquer un déni de service, de contourner la politique de sécurité ou de porter atteinte à la confidentialité des données.

Description

Cisco Clean Access est une solution logicielle permettant de gérer les accès des machines au réseau local. Elle comprend une API (Application Program Interface) donnant accès à différentes fonctionnalités.

Un manque de contrôle dans l'utilisation de ces fonctionnalités permet à un utilisateur mal intentionné du réseau local, par le biais d'un script malicieusement construit, de provoquer un déni de service en ajoutant une machine cible dans la liste des machines à rejeter. Elle permet également de contourner la politique de sécurité en ajoutant une machine arbitraire dans la liste des machines de confiance. Elle permet enfin d'atteindre à la confidentialité des données disponibles dans la configuration de Cisco Clean Access.

Solution

Se référer au bulletin de sécurité Cisco pour appliquer le correctif approprié (cf. Documentation).

Documentation