Le 19/10/2023 à 08:13, jehan procaccia INT a écrit :
Je m'interroge sur l'usage des interfaces [web|API|SD*] prônées par
les constructeurs
n'est-ce pas une exposition supplementaires majeure ? Ces outils (chez
cisco DNA/Catalyst-center, SD-Acces/Wan ...) utilisent-ils le service
http/https ?
cf le CVE en cours qui semble faire de serieux degats :
https://www.it-connect.fr/cyberattaque-plus-de-34-000-equipements-cisco-pirates-avec-cette-nouvelle-faille-zero-day/
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
Bonjour,
Je pense qu'il ne faut pas mélanger.
Cette faille concerne la WebUI de management des équipements IOS-XE.
Elle est sensée ne pas être exposée n'importe comment (et même
désactivée vu son peu d'utilité).
Sur SD-WAN, l'onboarding est fait de l'équipement (cEdge, vEdge) vers
l'orchestrateur vBond (Validator) puis un contrôleur vSmart et le
vManager sont découverts et le device s'y connecte.
A mon avis, s'il y a connexion entrante, elle est ensuite limitée aux
contrôleurs (DTLS/OMP) et managers (SSH/NETCONF) validés et enrôlés par
certificat. ça se passe sur des ports dédiés.
Toutefois, ce mécanisme reste faillible puisque là le point d'exposition
est côté vBond Orchestrator (Validator exposé complètement pour recevoir
l'onboarding et faire l'aiguillage) ou vSmart/vManage. Ils ont déjà eu
leurs lots de failles critiques.
Pour SD-Access, à mon sens, c'est plus classique. DNA Center va venir
découvrir les équipements en SNMP, SSH. Il y a sûrement aussi du ZTP
possible (pas vérifié).
Bref, tout logiciel reste faillible donc quand tu exposes des points de
découverte centralisée, ça peut forcément mal se passer.
--
Jérôme Berthier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/