Cisco a livré cette semaine des correctifs pour résoudre une nouvelle série de vulnérabilités de sécurité critiques affectant la série Expressway et le serveur de communication vidéo Cisco TelePresence (VCS) qui pourraient être exploitées par un attaquant pour obtenir des privilèges élevés et exécuter du code arbitraire.
Les deux failles – suivies comme CVE-2022-20754 et CVE-2022-20755 (scores CVSS : 9.0) – concernent une écriture de fichier arbitraire et une faille d’injection de commande dans l’API et les interfaces de gestion Web des deux produits qui pourraient avoir de graves répercussions sur les systèmes touchés.
La société a déclaré que les deux problèmes provenaient d’une validation d’entrée insuffisante des arguments de commande fournis par l’utilisateur, une faiblesse qui pourrait être militarisée par un attaquant distant authentifié pour mener des attaques de traversée de répertoire, écraser des fichiers arbitraires et exécuter du code malveillant sur le système d’exploitation sous-jacent. en tant qu’utilisateur racine.
« Ces vulnérabilités ont été découvertes lors de tests de sécurité internes par Jason Crowder du Cisco Advanced Security Initiatives Group (ASIG) », a noté la société dans son avis publié mercredi.
Cisco a également abordé trois autres failles dans StarOS, Cisco Identity Services Engine RADIUS Service et Cisco Ultra Cloud Core – Subscriber Microservices Infrastructure software –
CVE-2022-20665 (score CVSS : 6,0) – Une vulnérabilité d’injection de commande dans Cisco StarOS qui pourrait permettre à un attaquant disposant d’informations d’identification administratives d’exécuter du code arbitraire avec des privilèges root
CVE-2022-20756 (score CVSS : 8,6) – Une vulnérabilité de déni de service (DoS) affectant la fonctionnalité RADIUS de Cisco Identity Services Engine (ISE)
CVE-2022-20762 (score CVSS : 7,8) – Une faille d’escalade de privilèges dans l’interface de ligne de commande ConfD de l’environnement d’exécution commun (CEE) de Cisco Ultra Cloud Core – Logiciel SMI (Subscriber Microservices Infrastructure) qui pourrait permettre à un attaquant local authentifié de passer à privilèges root
Cisco a également noté qu’il n’avait trouvé aucune preuve d’exploitation malveillante des vulnérabilités, ajoutant qu’elles avaient été trouvées lors de tests de sécurité internes ou lors de la résolution d’un cas de support du centre d’assistance technique (TAC) de Cisco.
Néanmoins, les clients sont invités à mettre à jour les dernières versions dès que possible pour atténuer toute attaque potentielle dans la nature.