Le fabricant d’équipements de réseau Cisco a publié des mises à jour de sécurité pour résoudre trois vulnérabilités de haute gravité dans ses produits qui pourraient être exploitées pour provoquer une condition de déni de service (DoS) et prendre le contrôle des systèmes concernés.
Le premier des trois défauts, CVE-2022-20783 (score CVSS : 7,5), affecte le logiciel Cisco TelePresence Collaboration Endpoint (CE) et le logiciel Cisco RoomOS, et découle d’un manque de validation d’entrée appropriée, permettant à un attaquant distant non authentifié d’envoyer un trafic spécialement conçu aux appareils.
« Un exploit réussi pourrait permettre à l’attaquant de faire redémarrer l’appareil concerné soit normalement, soit en mode maintenance, ce qui pourrait entraîner une condition DoS sur l’appareil », a déclaré la société. c’est noté dans un avis.
La National Security Agency (NSA) des États-Unis est créditée d’avoir découvert et signalé la faille. Le problème a été résolu dans les versions 9.15.10.8 et 10.11.2.2 du logiciel Cisco TelePresence CE.
CVE-2022-20773 (score CVSS : 7,5), la deuxième faille à corriger concerne une clé d’hôte SSH statique présente dans Cisco Umbrella Virtual Appliance (VA) exécutant une version logicielle antérieure à la 3.3.2, permettant potentiellement à un attaquant d’effectuer un man-in -the-middle (MitM) attaque une connexion SSH et détourne les informations d’identification de l’administrateur.
Une troisième vulnérabilité très grave est un cas d’élévation de privilèges dans Cisco Virtualized Infrastructure Manager (CVE-2022-20732, score CVSS : 7,8) qui permet à un attaquant local authentifié d’élever les privilèges sur les appareils. Il a été résolu dans la version 4.2.2 du logiciel.
« Un exploit réussi pourrait permettre à l’attaquant d’obtenir des informations d’identification de base de données internes, que l’attaquant pourrait utiliser pour afficher et modifier le contenu de la base de données. L’attaquant pourrait utiliser cet accès à la base de données pour élever les privilèges sur l’appareil affecté », a déclaré la société. mentionné.
Cisco s’intéresse également aux 10 bogues de gravité moyenne couvrant son portefeuille de produits, y compris Webex Meeting, les produits de communications unifiées, Umbrella Secure Web Gateway et le logiciel IOS XR.