Sécurité : Cisco a corrigé une faille de sécurité importante dans son logiciel Video Surveillance Manager : un mot de passe codé en dur permettait à un attaquant d’accéder à un compte administrateur. Et ce n’est pas la première fois que Cisco fait face à ce type de problème.
Cisco renoue avec ses mauvaises habitudes. L’éditeur a corrigé une faille critique de sécurité au sein de son logiciel Video Surveillance Manager, un logiciel qui, comme son nom l’indique, propose un panneau de contrôle permettant de visualiser les flux de différentes cameras IP installées dans un système. Mais celui-ci était affecté par une faille de sécurité non négligeable : un mot de passe codé en dur dans le programme permettait de prendre le contrôle d’un compte administrateur sur le système.
Cette faille de sécurité est présente dans plusieurs versions du logiciel de vidéo surveillance (7.10, 7.11, 7.11.1) livrées sur quatre appliances fournies par Cisco (CPS-UCSM4-1RU-K9, CPS-UCSM4-2RU-K9, KIN-UCSM5-1RU-K9, et KIN-UCSM5-2RU-K9.)
Cisco explique que la faille en question provient d’un compte administrateur utilisé pendant le développement du logiciel qui n’a pas été supprimé correctement. Cisco précise que le mot de passe n’a pas été révélé publiquement, ce qui laisse entendre que la faille n’a pas été exploitée par des attaquants. L’éditeur explique avoir découvert la faille suite à des tests en interne.
Ce n’est pas la première faille du genre que corrige Cisco. En 2016, l’éditeur avait été accusé d’avoir laissé des accès dans plusieurs de ses logiciels, qu’il avait par la suite corrigés via un patch. Ces découvertes multiples avaient ainsi poussé Cisco a lancer un audit de l’ensemble de ses logiciels afin de détecter et corriger des failles de ce genre.
Deux ans plus tard, force est de constater que Cisco continue d’en découvrir de nouvelles : outre la faille affectant Video Surveillance Manager, une faille similaire a récemment été découverte au sein de son système d’exploitation IOSX XE.
