Risques
- Accès à distance à un service
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Systèmes affectés
- Cisco Security Manager versions 3.1.x ;
- Cisco Security Manager versions 3.2.x antérieures à 3.2.2.
Résumé
Une vulnérabilité dans Cisco Security Manager permet d'accéder à distance au service IPS Event Viewer.
Description
Cisco IPS Event Viewer (IEV) est un service de Cisco Security Manager (CSM) qui permet de visualiser et gérer les alertes de sécurité de cinq capteurs maximum. L'accès à ce service permet de configurer les filtres, d'importer et d'exporter des journaux, etc.
IEV est installé par défaut dans Cisco Security Manager mais n'est pas automatiquement démarré. Lorsqu'IEV est démarré, de nombreux ports TCP sont ouverts à la fois sur le serveur et sur le client. Lorsque le client IEV arrête sa session, les ports TCP du client sont fermés, mais pas ceux du serveur. En se connectant directement à un des ports TCP serveur, un utilisateur malintentionné peut obtenir un accès administrateur au service IEV et à sa base de données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-20090121-csm du 21 janvier 2009 : http://www.cisco.com/warp/public/707/cisco-sa-20090121-csm.shtml
- Référence CVE CVE-2008-3820 https://www.cve.org/CVERecord?id=CVE-2008-3820
