Plusieurs modèles de téléphones IP de Cisco Systems présentent une vulnérabilité de haute gravité, a reconnu la société, mais un correctif ne sera pas disponible avant janvier.
Il n’existe pas non plus de solution de contournement pour la fonctionnalité de traitement du protocole Cisco Discovery dans les téléphones IP Cisco séries 7800 et 8800 (à l’exception du téléphone IP sans fil Cisco 8821).
Ce que les administrateurs peuvent faire, c’est de désactiver le protocole Cisco Discovery sur les téléphones concernés. Les appareils utiliseront ensuite LLDP pour la découverte des données de configuration telles que le VLAN vocal et la négociation de l’alimentation.
Cependant, Cisco prévient que « ce n’est pas un changement trivial et il nécessitera une analyse de la part de l’entreprise pour évaluer tout impact potentiel sur les appareils ainsi que la meilleure approche pour déployer ce changement dans leur entreprise ».
« Bien que cette mesure d’atténuation ait été déployée et ait fait ses preuves dans un environnement de test », déclare Cisco, « les clients doivent déterminer l’applicabilité et l’efficacité dans leur propre environnement et dans leurs propres conditions d’utilisation. Les clients doivent être conscients que toute solution de contournement ou atténuation mise en œuvre peut avoir un impact négatif sur la fonctionnalité ou les performances de leur réseau en fonction des scénarios de déploiement et des limitations intrinsèques du client. Les clients ne doivent pas déployer de solutions de contournement ou d’atténuation avant d’avoir d’abord évalué l’applicabilité à leur propre environnement et tout impact sur cet environnement. »
La vulnérabilité de la fonctionnalité de traitement du protocole Cisco Discovery des téléphones concernés pourrait permettre à un attaquant adjacent non authentifié de provoquer un débordement de pile sur un périphérique concerné. La faille est causée par une validation d’entrée insuffisante des paquets Cisco Discovery Protocol reçus, indique l’avis de Cisco. Un attaquant pourrait exploiter cette vulnérabilité en envoyant du trafic Cisco Discovery Protocol spécialement conçu à un appareil affecté. Un exploit réussi pourrait permettre à l’attaquant de provoquer un débordement de pile, entraînant une éventuelle exécution de code à distance ou une condition de déni de service (DoS) sur un appareil affecté.
Adaptation et traduction française par Renaud Larue-Langlois.
