Vulnérabilité de clé statique du logiciel de nœud intelligent Cisco

Une vulnérabilité dans le logiciel Cisco Intelligent Node (iNode) pourrait permettre à un attaquant non authentifié et distant de prendre le contrôle de la connexion TLS entre Cisco iNode Manager et les nœuds intelligents associés, et d'envoyer du trafic arbitraire vers un appareil affecté. Cette vulnérabilité est due à la présence de matériel cryptographique codé en dur. Un attaquant en position d'homme du milieu entre Cisco iNode Manager et les nœuds déployés associés pourrait exploiter cette vulnérabilité en utilisant la clé cryptographique statique pour générer un certificat de confiance et se faire passer pour un appareil affecté. Une exploitation réussie pourrait permettre à l'attaquant de lire des données destinées à un appareil légitime, de modifier la configuration de démarrage d'un nœud associé et, par conséquent, provoquer une condition de refus de service (DoS) pour les appareils en aval connectés au nœud affecté. Cisco a publié des mises à jour de logiciel qui corrigent cette vulnérabilité. Il n'y a pas de solutions de contournement qui traitent cette vulnérabilité. Cette notification est disponible à l'adresse suivante : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-inode-static-key-VUVCeynn Évaluation de l'impact sur la sécurité : Élevé CVE : CVE-2024-20323