Cisco a publié mercredi des correctifs de sécurité pour 45 vulnérabilités affectant une variété de produits, dont certains pourraient être exploités pour exécuter des actions arbitraires avec des autorisations élevées sur les systèmes concernés.
Sur les 45 bogues, une vulnérabilité de sécurité est classée critique, trois sont classées élevées et 41 sont classées moyennement graves.
La le plus grave des problèmes sont CVE-2022-20857, CVE-2022-20858 et CVE-2022-20861, qui ont un impact sur le tableau de bord Cisco Nexus pour les centres de données et les infrastructures de réseau cloud et pourraient permettre à un « attaquant distant non authentifié d’exécuter des commandes arbitraires, de lire ou de télécharger une image de conteneur fichiers ou effectuer une attaque de falsification de requête intersite. »
- CVE-2022-20857 (Score CVSS : 9,8) – Vulnérabilité d’exécution de commande arbitraire du tableau de bord Cisco Nexus
- CVE-2022-20858 (Score CVSS : 8,2) – Vulnérabilité en lecture et en écriture de l’image du conteneur Cisco Nexus Dashboard
- CVE-2022-20861 (Score CVSS : 8,8) – Vulnérabilité CSRF (cross-site request forgery) du tableau de bord Cisco Nexus
Les trois vulnérabilités, identifiées lors des tests de sécurité internes, affectent Cisco Nexus Dashboard 1.1 et versions ultérieures, avec des correctifs disponibles dans la version 2.2(1e).
Une autre faille de gravité élevée concerne une vulnérabilité dans l’implémentation SSL/TLS de Cisco Nexus Dashboard (CVE-2022-20860, score CVSS : 7,4) qui pourrait permettre à un attaquant distant non authentifié de modifier les communications avec les contrôleurs associés ou d’afficher des informations sensibles.
« Un attaquant pourrait exploiter cette vulnérabilité en utilisant des techniques de l’homme du milieu pour intercepter le trafic entre l’appareil affecté et les contrôleurs, puis en utilisant un certificat spécialement conçu pour se faire passer pour les contrôleurs », a déclaré la société. a dit dans un avis.
« Un exploit réussi pourrait permettre à l’attaquant de modifier les communications entre les appareils ou d’afficher des informations sensibles, y compris les informations d’identification de l’administrateur pour ces contrôleurs. »
Un autre ensemble de cinq lacunes dans les produits Cisco Nexus Dashboard concerne un mélange de quatre failles d’élévation de privilèges Et un vulnérabilité d’écriture de fichier arbitraire qui pourrait permettre à un attaquant authentifié d’obtenir des autorisations root et d’écrire des fichiers arbitraires sur les appareils.
Ailleurs résolus par Cisco sont 35 vulnérabilités dans ses routeurs Small Business RV110W, RV130, RV130W et RV215W qui pourraient équiper un adversaire déjà en possession d’informations d’identification d’administrateur valides avec des capacités pour exécuter du code arbitraire ou provoquer une condition de déni de service (DoS) en envoyant une demande spécialement conçue à l’interface de gestion basée sur le Web.
Les correctifs sont complétés par un correctif pour une vulnérabilité de script intersite (XSS) dans l’interface de gestion Web de Cisco IoT Control Center qui, si elle est correctement militarisée, pourrait permettre à un attaquant distant non authentifié de lancer une attaque XSS contre un utilisateur. .
« Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l’interface de cliquer sur un lien spécialement conçu », a déclaré Cisco. a dit. « Un exploit réussi pourrait permettre à l’attaquant d’exécuter un code de script arbitraire dans le contexte de l’interface affectée ou d’accéder à des informations sensibles basées sur un navigateur. »
Bien qu’aucune des vulnérabilités susmentionnées ne soit utilisée de manière malveillante dans des attaques réelles, il est impératif que les utilisateurs des appliances concernées agissent rapidement pour appliquer les correctifs.
Les mises à jour sont également arrivées moins de deux semaines après que Cisco a déployé des correctifs pour 10 failles de sécurité, y compris une vulnérabilité d’écrasement de fichier critique arbitraire dans Cisco Expressway Series et Cisco TelePresence Video Communication Server (CVE-2022-20812) qui pourrait conduire à des attaques de traversée de chemin absolu. .