Cisco a déployé mercredi des correctifs pour corriger une faille de sécurité critique affectant Email Security Appliance (ESA) et Secure Email and Web Manager qui pourrait être exploitée par un attaquant distant non authentifié pour contourner l’authentification.
Attribué l’identifiant CVE CVE-2022-20798la vulnérabilité de contournement est notée 9,8 sur un maximum de 10 sur le système de notation CVSS et provient de vérifications d’authentification incorrectes lorsqu’un périphérique affecté utilise le protocole léger d’accès à un répertoire (LDAP) pour l’authentification externe.
« Un attaquant pourrait exploiter cette vulnérabilité en saisissant une entrée spécifique sur la page de connexion de l’appareil concerné », a noté Cisco dans un avis. « Un exploit réussi pourrait permettre à l’attaquant d’obtenir un accès non autorisé à l’interface de gestion Web de l’appareil concerné. »
La faille, qui, selon elle, a été identifiée lors de la résolution d’un cas de centre d’assistance technique (TAC), affecte ESA et Secure Email and Web Manager exécutant les versions vulnérables du logiciel AsyncOS 11 et antérieures, 12, 12.x, 13, 13.x, 14 et 14.x et lorsque les deux conditions suivantes sont remplies –
- Les appareils sont configurés pour utiliser l’authentification externe, et
- Les appareils utilisent LDAP comme protocole d’authentification
Par ailleurs, Cisco a également informé les clients d’une autre faille critique affectant ses routeurs Small Business RV110W, RV130, RV130W et RV215W qui pourrait permettre à un adversaire distant non authentifié d’exécuter du code arbitraire ou de provoquer le redémarrage inattendu d’un appareil affecté, entraînant un déni de service. (DoS).
Le bug, suivi comme CVE-2022-20825 (score CVSS : 9,8), concerne un cas de validation insuffisante des entrées utilisateur des paquets HTTP entrants. Cependant, Cisco a déclaré qu’il ne prévoyait pas de publier des mises à jour logicielles ni des solutions de contournement pour résoudre la faille, car les produits ont atteint la fin de leur vie.