Le fabricant d’équipements de réseau Cisco a publié des mises à jour de sécurité pour résoudre trois vulnérabilités de haute gravité dans ses produits qui pourraient être exploitées pour provoquer une condition de déni de service (DoS) et prendre le contrôle des systèmes concernés.
La première des trois failles, CVE-2022-20783 (score CVSS : 7,5), affecte le logiciel Cisco TelePresence Collaboration Endpoint (CE) et le logiciel Cisco RoomOS, et découle d’un manque de validation d’entrée appropriée, permettant à un attaquant distant non authentifié de envoyer un trafic spécialement conçu aux appareils.
« Un exploit réussi pourrait permettre à l’attaquant de faire redémarrer l’appareil concerné soit normalement, soit en mode maintenance, ce qui pourrait entraîner une condition DoS sur l’appareil », a noté la société dans un avis.
La National Security Agency (NSA) des États-Unis est créditée d’avoir découvert et signalé la faille. Le problème a été résolu dans les versions 9.15.10.8 et 10.11.2.2 du logiciel Cisco TelePresence CE.
CVE-2022-20773 (score CVSS : 7,5), la deuxième faille à corriger, concerne une clé d’hôte SSH statique présente dans Cisco Umbrella Virtual Appliance (VA) exécutant une version logicielle antérieure à 3.3.2, permettant potentiellement à un attaquant de effectuer une attaque man-in-the-middle (MitM) sur une connexion SSH et détourner les informations d’identification de l’administrateur.
Une troisième vulnérabilité très grave est un cas d’élévation de privilèges dans Cisco Virtualized Infrastructure Manager (CVE-2022-20732, score CVSS : 7,8) qui permet à un attaquant local authentifié d’élever les privilèges sur les appareils. Il a été résolu dans la version 4.2.2 du logiciel.
« Un exploit réussi pourrait permettre à l’attaquant d’obtenir des informations d’identification de base de données internes, que l’attaquant pourrait utiliser pour afficher et modifier le contenu de la base de données. L’attaquant pourrait utiliser cet accès à la base de données pour élever les privilèges sur l’appareil affecté », a déclaré la société. .
Cisco a également abordé 10 bogues de gravité moyenne couvrant son portefeuille de produits, notamment Webex Meeting, les produits de communications unifiées, Umbrella Secure Web Gateway et le logiciel IOS XR.