🔐 Backdoor Cisco : Quand le root s’invite sans frapper

« Hardcoded credentials ? En 2025 ? Cisco, vraiment ? »
Celle là va plaire à notre responsable réseau

🧹 Le rĂ©sumĂ© qui pique

Cisco a discrĂštement publiĂ© un correctif critique pour son produit Unified Communications Manager (Unified CM) â€“ la solution phare pour la tĂ©lĂ©phonie IP en entreprise – afin de supprimer un compte root cachĂ©. Oui, vous avez bien lu : un compte SSH avec des identifiants codĂ©s en dur, qui ouvrait grand la porte Ă  quiconque souhaitait se promener tranquillement dans vos serveurs de tĂ©lĂ©phonie.

🐚 Une backdoor bien dodue

Ce compte spĂ©cial, visiblement destinĂ© Ă  la maintenance (ou Ă  la magie noire interne), permettait une connexion SSH avec privilĂšges root, sans nĂ©cessiter de mesures d’authentification supplĂ©mentaires. Si votre instance de Unified CM Ă©tait exposĂ©e Ă  Internet (ou mal cloisonnĂ©e en interne), un attaquant pouvait, en thĂ©orie, en prendre le contrĂŽle total. Pas seulement pour Ă©couter les appels, mais aussi pour pivoter, lancer des attaques internes ou installer des backdoors persistantes.

On parle ici de CVE-2024-20399, qui a reçu un score de 9.8 sur 10 (CVSS), autrement dit un accĂšs VIP illimitĂ© pour les cybercriminels.

🔎 DĂ©tails techniques (et gĂȘnants)

  • Produit concerné : Cisco Unified Communications Manager (aussi connu sous le nom de CallManager)
  • Version affectĂ©e : 14SU3 (et possiblement d’autres non documentĂ©es)
  • VulnĂ©rabilité : Compte root avec mot de passe codĂ© en dur accessible en SSH
  • Exploitabilité : À distance, sans authentification prĂ©alable
  • Score CVSS : 9.8 / 10 – Critique

Cisco prĂ©cise que le compte a Ă©tĂ© intĂ©grĂ© par inadvertance (selon la formule magique habituelle) et qu’un patch est dĂ©sormais disponible. Mais ne comptez pas trop sur une mise Ă  jour automatique : les admins doivent patcher manuellement.

🧯 Que faire si vous ĂȘtes concernĂ© ?

  1. Appliquez le correctif immĂ©diatement (oui, aujourd’hui, pas la semaine prochaine).
  2. Vérifiez les logs SSH à la recherche de connexions suspectes.
  3. Restreignez les accÚs SSH via firewall ou segmentation réseau.
  4. Surveillez l’intĂ©gritĂ© du systĂšme (fichiers systĂšme modifiĂ©s, crĂ©ation de comptes suspects, etc.).
  5. Effectuez une analyse de compromission si votre CM a été exposé.

🧠 Pourquoi c’est grave ?

Parce que l’on parle ici :

  • d’un produit critique dans les infrastructures,
  • d’un accĂšs root Ă  distance sans authentification,
  • et d’une faille prĂ©sente par design (aka « backdoor involontaire »).

Ce genre de vulnĂ©rabilitĂ© n’est pas seulement une faille, c’est un aveu de nĂ©gligence industrielle. Cisco n’est pas un petit Ă©diteur open source en bĂȘta : c’est l’un des plus gros vendeurs de solutions rĂ©seau au monde. Quand un tel acteur livre un produit avec un compte root codĂ© en dur, c’est toute la chaĂźne de confiance qui vacille.

🧠 En conclusion : une sonnette d’alarme

Les backdoors « involontaires », c’est comme les factures oubliĂ©es : ça finit toujours par vous rattraper. Pour les RSSI, c’est une piqĂ»re de rappel sur l’importance de l’inventaire logiciel, de la gestion des vulnĂ©rabilitĂ©s, et de la micro-segmentation rĂ©seau.

Et pour les DSI, c’est une bonne occasion de poser la seule vraie question :

« Qui a encore besoin d’un accĂšs SSH root Ă  distance en production en 2025 ? »

💬 Bonus sarcastique pour les rĂ©unions du lundi matin :

« Chez Cisco, on pense que le zĂ©ro trust, c’est pour les clients. Pas pour leurs propres logiciels. »

🔐 Backdoor Cisco : Quand le root s’invite sans frapper
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut