Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

CVE-2025-6978: Arbitrary Code Execution in the Arista NG Firewall

1 minute de lecture

Mis à jour :

Exécution de Code Arbitraire via Injection de Commande dans Arista NG Firewall

Une vulnérabilité critique a été découverte dans le composant de diagnostic de l’Arista NG Firewall, permettant l’exécution de code arbitraire avec les privilèges root. Cette faille, identifiée sous le numéro CVE-2025-6978, a été corrigée par Arista.

Points Clés :

  • La vulnérabilité réside dans une validation insuffisante des données utilisateur au sein du composant de diagnostic, plus précisément lors de l’utilisation de la méthode runTroubleshooting() via l’API JSON-RPC.
  • Un attaquant distant et authentifié peut exploiter cette faille en envoyant des requêtes spécialement conçues.
  • L’exploitation réussie peut mener à l’exécution de commandes arbitraires sur le système, avec les droits de l’utilisateur root.

Vulnérabilité :

  • CVE: CVE-2025-6978
  • Type: Injection de commande (Command Injection)
  • Composant affecté: Fonctionnalité de diagnostic via API JSON-RPC, spécifiquement la méthode runTroubleshooting().
  • Cause: Manque de validation complète des métacaractères shell dans les paramètres HOST ou URL passés à la méthode runTroubleshooting(). Le caractère backtick (`), par exemple, n’était pas correctement filtré.

Recommandations :

  • Mise à jour immédiate: Appliquer le correctif de sécurité Arista en mettant à jour le logiciel vers la version 17.4 ou supérieure.
  • Mitigation (en attendant la mise à jour): Restreindre strictement l’accès administratif à l’interface web du pare-feu aux seuls utilisateurs autorisés.
  • Surveillance du trafic: Surveiller le trafic sur les ports HTTP (80/TCP) et HTTPS (443/TCP). Il est nécessaire de déchiffrer le trafic pour une inspection adéquate.
  • Détection des tentatives d’exploitation: Rechercher les requêtes HTTP POST vers /admin/JSON-RPC contenant dans le corps JSON une méthode incluant runTroubleshooting. Vérifier ensuite le paramètre params, spécifiquement les clés HOST ou URL, pour la présence de métacaractères d’injection de commande tels que ``, ', $, <. Une expression régulière pour la détection est fournie dans l’analyse originale.

La correction a été publiée par Arista dans son avis de sécurité 0123.

Source

Vous pourriez aimer