Faille sur Cisco VPN 3000

Cisco Systems lance un avertissement à ses clients : une faille de sécurité frapperait ses concentrateurs de la série VPN 3000.

L'éditeur et fabricant américain Cisco Systems, spécialisé dans l'infrastructure réseau, reconnaît l'existence d'une faille affectant ses concentrateurs VPN 3000 (notre photo). Ces derniers seraient en effet vulnérables à des attaques par paquets de données HPPT piégés, en raison du fait que l'interface de gestion de réseau qui les commande est réglée par défaut sur le mode HTTP ( Hyper Text Transfer Protocol ).

Cisco Systems rappellent qu'un réglage plus serré en terme de sécurité est possible : il suffit de désactiver le mode HTTP, et de basculer sur le mode HTTPS ( Hyper Text Transfer Protocol - Secure ). Ceci étant, la manipulation doit être opérée par un administrateur compétent.

Les VPN 3000 concernés par cette alerte emporte les versions 4.7.0 à 4.7.2 de l'interface de gestion ; les versions antérieures ne sont pas touchées par cette alerte.

Les utilisateurs de ces matériels recevront comme toujours un avis de disponibilité de mise à jour via le service " igxglobal " de l'éditeur. Cisco Systems recommande vivement à ses clients de ne pas ignorer cette menace, ou de la sous-estimer : les attaques qui exploiteraient cette faille pourraient déboucher sur des dénis de services, distribués ou non, selon les configurations concernées.