Cisco a publié des mises à jour de sécurité pour contenir trois vulnérabilités affectant ses produits, y compris une faille de haute gravité dans son dispositif de sécurité du courrier électronique (ESA) qui pourrait entraîner une condition de déni de service (DoS) sur un appareil affecté.
La faiblesse, attribuée à l’identifiant CVE-2022-20653 (score CVSS : 7,5), provient d’un cas de traitement insuffisant des erreurs dans DNS résolution de nom qui pourrait être exploitée par un attaquant distant non authentifié pour envoyer un message électronique spécialement conçu et provoquer un DoS.
« Un exploit réussi pourrait permettre à l’attaquant de rendre l’appareil inaccessible à partir des interfaces de gestion ou de traiter des e-mails supplémentaires pendant un certain temps jusqu’à ce que l’appareil se rétablisse, entraînant une condition DoS », a déclaré la société. mentionné dans un avis. « Des attaques continues pourraient rendre l’appareil complètement indisponible, entraînant une condition DoS persistante. »
La faille affecte les appareils Cisco ESA exécutant le logiciel Cisco AsyncOS exécutant les versions 14.0, 13.5, 13.0, 12.5 et antérieures et ont la « fonction DANE activée et avec les serveurs de messagerie en aval configurés pour envoyer des messages de rebond ». DANOIS est l’abréviation de DNS-based Authentication of Named Entities, qui est utilisé pour la validation du courrier sortant.
Cisco a remercié les chercheurs du fournisseur de services TIC Rijksoverheid Dienst ICT Uitvoering (DICTU) pour avoir signalé la vulnérabilité, tout en soulignant qu’il n’a trouvé aucune preuve d’exploitation malveillante.
Par ailleurs, le fabricant d’équipements de réseautage a également corrigé deux autres failles dans son infrastructure principale et son gestionnaire de réseau programmable évolué et son gestionnaire de configuration de redondance qui pourraient permettre à un adversaire d’exécuter du code arbitraire et de provoquer une condition DoS –
- CVE-2022-20659 (Score CVSS : 6,1) – Vulnérabilité de script intersite (XSS) Cisco Prime Infrastructure et Evolved Programmable Network Manager
- CVE-2022-20750 (Score CVSS : 5,3) – Vulnérabilité de déni de service (DoS) TCP du logiciel Cisco Redundancy Configuration Manager for Cisco StarOS
Les correctifs interviennent également des semaines après que Cisco a publié des correctifs pour plusieurs vulnérabilités de sécurité critiques affectant ses routeurs de la série RV, dont certains ont obtenu les notes de gravité CVSS les plus élevées possibles de 10, qui pourraient être militarisées pour élever les privilèges et exécuter du code arbitraire sur les systèmes concernés.