Plateforme
cisco
Composant
thousandeyes-enterprise-agent
Corrigé dans
5.0.1
4.4.5
4.4.4
4.4.3
4.2.1
4.1.1
4.0.1
5.1.1
5.1.3
Une vulnérabilité a été identifiée dans l'interface CLI de Cisco ThousandEyes Enterprise Agent. Cette faille permet à un attaquant authentifié, local et disposant de privilèges limités, d'écraser des fichiers arbitraires sur le système local de l'appareil. Les versions concernées sont 4.0 à Agent 5.1.2. Le statut de correction est en cours d'évaluation.
La vulnérabilité CVE-2026-20161 dans l'agent d'entreprise Cisco ThousandEyes permet à un attaquant local authentifié disposant de faibles privilèges de remplacer des fichiers arbitraires sur le système local de l'appareil affecté. Cela est dû à des contrôles d'accès inappropriés sur les fichiers du système de fichiers local de l'appareil. Un attaquant pourrait exploiter cette vulnérabilité en plaçant un lien symbolique dans un emplacement spécifique du système de fichiers local. Une exploitation réussie pourrait permettre à l'attaquant de compromettre l'intégrité des données et d'exécuter potentiellement du code malveillant sur l'appareil. Bien que le score CVSS soit de 5,5, la nécessité d'un accès local et de faibles privilèges limite la portée de l'exploitation, mais elle représente toujours un risque important, en particulier dans les environnements où l'accès local n'est pas suffisamment restreint. L'absence de correctif fourni par Cisco nécessite une évaluation minutieuse et la mise en œuvre de mesures d'atténuation alternatives.
L'exploitation de CVE-2026-20161 nécessite qu'un attaquant ait un accès local à l'appareil exécutant l'agent d'entreprise Cisco ThousandEyes. L'attaquant doit également disposer de privilèges d'utilisateur authentifié, même s'ils sont faibles. L'attaque consiste à créer un lien symbolique dans un emplacement spécifique du système de fichiers local. Ce lien symbolique pointe vers un fichier que l'attaquant souhaite remplacer. En raison de lacunes dans les contrôles d'accès, l'attaquant peut remplacer le fichier cible, compromettant potentiellement l'intégrité du système. La difficulté de l'exploitation réside dans l'obtention d'un accès local et la création du lien symbolique sans être détecté. L'absence d'un correctif officiel de Cisco augmente l'importance de la mise en œuvre de mesures d'atténuation proactives.
Organizations utilizing Cisco ThousandEyes Enterprise Agent for network performance monitoring are at risk, particularly those with less stringent access controls on their agent deployments. Environments with shared hosting or legacy configurations where agent access is not adequately restricted are especially vulnerable.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*ThousandEyes*'} | Stop-ScheduledTask• linux / server:
journalctl -u thousandeyes-agent | grep -i "symbolic link"• generic web:
curl -I http://<thousandeyes_agent_ip>/clidisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
Étant donné que Cisco n'a pas fourni de correctif direct (fix : none), l'atténuation se concentre sur la réduction des risques grâce à des mesures de sécurité complémentaires. Il est fortement recommandé de restreindre l'accès local à l'agent d'entreprise ThousandEyes. La mise en œuvre de contrôles d'accès stricts, tels que l'authentification multifacteur (MFA) et le principe du moindre privilège, peut aider à prévenir l'exploitation. La surveillance du système de fichiers pour la création de liens symboliques suspects est essentielle. De plus, l'examen et le renforcement de la configuration de l'agent ThousandEyes afin de minimiser la surface d'attaque constituent une bonne pratique. Envisagez la segmentation du réseau pour isoler les appareils sur lesquels l'agent est installé, ce qui peut limiter l'impact d'une éventuelle exploitation. Une évaluation des risques approfondie doit être effectuée pour déterminer la probabilité et l'impact de l'exploitation dans l'environnement spécifique.
Cisco recomienda actualizar a una versión corregida del agente ThousandEyes Enterprise. Consulte la advisory de Cisco (https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-te-agentfilewrite-tqUw3SMU) para obtener más detalles sobre las versiones afectadas y las versiones corregidas disponibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un lien symbolique est un type de fichier qui agit comme un raccourci vers un autre fichier ou répertoire. Dans ce cas, il est utilisé pour tromper le système et remplacer un fichier cible.
Le principe du moindre privilège stipule qu'un utilisateur ou un processus ne doit avoir que les privilèges nécessaires pour effectuer sa tâche. Cela limite les dommages potentiels si un compte est compromis.
Divers outils de surveillance du système de fichiers sont disponibles, à la fois open source et commerciaux. Ces outils peuvent alerter sur la création de liens symboliques suspects ou des modifications non autorisées de fichiers.
Si vous suspectez que votre système a été compromis, isolez immédiatement l'appareil du réseau et contactez l'équipe de sécurité de votre organisation. Effectuez une enquête médico-légale pour déterminer l'étendue du compromis.
Actuellement, Cisco n'a pas fourni de correctif pour CVE-2026-20161. Il est recommandé de surveiller le site Web de Cisco et les avis de sécurité pour obtenir des mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.