Le fabricant d’\u00e9quipements de r\u00e9seau Cisco a publi\u00e9 des mises \u00e0 jour de s\u00e9curit\u00e9 pour r\u00e9soudre trois vuln\u00e9rabilit\u00e9s de haute gravit\u00e9 dans ses produits qui pourraient \u00eatre exploit\u00e9es pour provoquer une condition de d\u00e9ni de service (DoS) et prendre le contr\u00f4le des syst\u00e8mes concern\u00e9s.<\/p>\n
Le premier des trois d\u00e9fauts, CVE-2022-20783<\/strong> (score CVSS\u00a0: 7,5), affecte le logiciel Cisco TelePresence Collaboration Endpoint (CE) et le logiciel Cisco RoomOS, et d\u00e9coule d’un manque de validation d’entr\u00e9e appropri\u00e9e, permettant \u00e0 un attaquant distant non authentifi\u00e9 d’envoyer un trafic sp\u00e9cialement con\u00e7u aux appareils.<\/p>\n “Un exploit r\u00e9ussi pourrait permettre \u00e0 l’attaquant de faire red\u00e9marrer l’appareil concern\u00e9 soit normalement, soit en mode maintenance, ce qui pourrait entra\u00eener une condition DoS sur l’appareil”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. c’est not\u00e9<\/a> dans un avis.<\/p>\n La National Security Agency (NSA) des \u00c9tats-Unis est cr\u00e9dit\u00e9e d’avoir d\u00e9couvert et signal\u00e9 la faille. Le probl\u00e8me a \u00e9t\u00e9 r\u00e9solu dans les versions 9.15.10.8 et 10.11.2.2 du logiciel Cisco TelePresence CE.<\/p>\n CVE-2022-20773<\/strong><\/a> (score CVSS\u00a0: 7,5), la deuxi\u00e8me faille \u00e0 corriger concerne une cl\u00e9 d’h\u00f4te SSH statique pr\u00e9sente dans Cisco Umbrella Virtual Appliance (VA) ex\u00e9cutant une version logicielle ant\u00e9rieure \u00e0 la 3.3.2, permettant potentiellement \u00e0 un attaquant d’effectuer un man-in -the-middle (MitM) attaque une connexion SSH et d\u00e9tourne les informations d’identification de l’administrateur.<\/p>\n Une troisi\u00e8me vuln\u00e9rabilit\u00e9 tr\u00e8s grave est un cas d’\u00e9l\u00e9vation de privil\u00e8ges dans Cisco Virtualized Infrastructure Manager (CVE-2022-20732<\/strong>, score CVSS : 7,8) qui permet \u00e0 un attaquant local authentifi\u00e9 d’\u00e9lever les privil\u00e8ges sur les appareils. Il a \u00e9t\u00e9 r\u00e9solu dans la version 4.2.2 du logiciel.<\/p>\n “Un exploit r\u00e9ussi pourrait permettre \u00e0 l’attaquant d’obtenir des informations d’identification de base de donn\u00e9es internes, que l’attaquant pourrait utiliser pour afficher et modifier le contenu de la base de donn\u00e9es. L’attaquant pourrait utiliser cet acc\u00e8s \u00e0 la base de donn\u00e9es pour \u00e9lever les privil\u00e8ges sur l’appareil affect\u00e9”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. mentionn\u00e9<\/a>.<\/p>\n Cisco s’int\u00e9resse \u00e9galement aux 10 bogues de gravit\u00e9 moyenne<\/a> couvrant son portefeuille de produits, y compris Webex Meeting, les produits de communications unifi\u00e9es, Umbrella Secure Web Gateway et le logiciel IOS XR.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Nouveau-Wiper-Malware-ciblant-lUkraine-dans-le-cadre-de-loperation.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n