Cisco a déployé mercredi des correctifs pour résoudre trois failles de sécurité affectant ses produits, y compris une faiblesse de haute gravité révélée dans le kit de développement NVIDIA Data Plane (MLNX_DPDK) à la fin du mois dernier.
Suivi comme CVE-2022-28199 (score CVSS : 8,6), la vulnérabilité découle d’un manque de gestion appropriée des erreurs dans la pile réseau de DPDK, permettant à un adversaire distant de déclencher une condition de déni de service (DoS) et d’avoir un impact sur l’intégrité et la confidentialité des données.
« Si une condition d’erreur est observée sur l’interface de l’appareil, l’appareil peut recharger ou ne pas recevoir de trafic, ce qui entraîne une condition de déni de service (DoS) », Cisco a dit dans un avis publié le 7 septembre.
DPDKName fait référence à un ensemble de bibliothèques et de pilotes de carte d’interface réseau (NIC) optimisés pour le traitement rapide des paquets, offrant un cadre et une API commune pour les applications de mise en réseau à haut débit.
Cisco a déclaré avoir enquêté sur sa gamme de produits et déterminé que les services suivants étaient affectés par le bogue, incitant le fabricant d’équipements réseau à publier des mises à jour logicielles –
- Logiciel de périphérie Cisco Catalyst 8000V
- Appliance virtuelle de sécurité adaptative (ASAv) et
- Secure Firewall Threat Defense Virtual (anciennement FTDv)
Outre CVE-2022-28199, Cisco a également résolu une vulnérabilité dans son logiciel Cisco SD-WAN vManage qui pourrait « permettre à un attaquant adjacent non authentifié ayant accès au réseau logique VPN0 d’accéder également aux ports de service de messagerie sur un système affecté. . »
L’entreprise a blâmé la lacune – a attribué l’identifiant CVE-2022-20696 (score CVSS : 7,5) – sur l’absence de « mécanismes de protection suffisants » dans les ports conteneurs du serveur de messagerie. Il a crédité Orange Business pour avoir signalé la vulnérabilité.
L’exploitation réussie de la faille pourrait permettre à l’attaquant de visualiser et d’injecter des messages dans le service de messagerie, ce qui peut entraîner des modifications de configuration ou le rechargement du système, a déclaré Cisco.
Une troisième faille corrigée par Cisco est une vulnérabilité dans l’interface de messagerie de Cisco Webex App (CVE-2022-20863score CVSS : 4,3), ce qui pourrait permettre à un attaquant distant non authentifié de modifier des liens ou d’autres contenus et de mener des attaques de phishing.
« Cette vulnérabilité existe parce que le logiciel concerné ne gère pas correctement le rendu des caractères », a-t-il déclaré. « Un attaquant pourrait exploiter cette vulnérabilité en envoyant des messages dans l’interface de l’application. »
Cisco a crédité Rex, Bruce et Zachery de Binance Red Team pour avoir découvert et signalé la vulnérabilité.
Enfin, il a également révélé les détails d’un bogue de contournement d’authentification (CVE-2022-20923score CVSS : 4,0) affectant les routeurs Cisco Small Business RV110W, RV130, RV130W et RV215W, qui, selon elle, ne seront pas corrigés car les produits arrivent en fin de vie (EOL).
« Cisco n’a pas publié et ne publiera pas de mises à jour logicielles pour remédier à la vulnérabilité », a-t-il déclaré, encourageant les utilisateurs à « migrer vers les routeurs Cisco Small Business RV132W, RV160 ou RV160W ».