Les switches Cisco des gammes Nexus 3000 et Nexus 3500 sont touchés par une faille majeure. Les pirates peuvent en effet s’y introduire via un compte utilisateur présent dans NX-OS, et accessible via un mot de passe statique. Ce compte utilisateur permet de disposer des droits root sur les switches, via une connexion locale (au travers d’un port série) ou distance (par l’entremise d’une connexion SSH ou Telnet).
Un compte root accessible en Telnet avec un mot de passe fixé en dur, voilà qui fait tâche pour le champion des équipements réseau. Fort heureusement, le serveur Telnet est inactif par défaut sur les équipements du constructeur. Le cas échéant, le couper suffit à éliminer cette vulnérabilité. Avec les Nexus 3500 sous NX-OS 6.0(2)A6(1), la faille est plus critique, puisqu’un serveur SSH est actif par défaut. Ces switches sont donc très directement menacés.
Sont concernés, les Nexus 3000 pourvus de NX-OS 6.0(2)U6(1), 6.0(2)U6(2), 6.0(2)U6(3), 6.0(2)U6(4) et 6.0(2)U6(5), ainsi que les Nexus 3500 fonctionnant sous NX-OS 6.0(2)A6(1), 6.0(2)A6(2), 6.0(2)A6(3), 6.0(2)A6(4), 6.0(2)A6(5) et 6.0(2)A7(1).
La firme livre une série de correctifs (estampillés ‘a’) permettant de régler le problème sur l’ensemble de ces OS. Elle recommande l’utilisation de NX-OS 6.0(2)U6(5a), NX-OS 6.0(2)A6(5a) ou NX-OS 6.0(2)A7(1a), qui éliminent également deux autres failles pouvant mener à des attaques par déni de service.
À lire aussi :
Rachat de CliQr : Cisco s’attaque à la gestion des applications dans le Cloud
Cisco s’empare d’un expert des composants réseau haute vitesse
Cisco booste ses bénéfices… et chouchoute ses actionnaires
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…