Cisco Systems a livr\u00e9 mercredi des correctifs de s\u00e9curit\u00e9 pour contenir trois failles affectant son logiciel d’infrastructure NFV d’entreprise (NFVIS<\/a>) qui pourrait permettre \u00e0 un attaquant de compromettre compl\u00e8tement et de prendre le contr\u00f4le des h\u00f4tes.<\/p>\n Suivies comme CVE-2022-20777, CVE-2022-20779 et CVE-2022-20780, les vuln\u00e9rabilit\u00e9s “pourraient permettre \u00e0 un attaquant de s’\u00e9chapper de la machine virtuelle invit\u00e9e (VM) vers la machine h\u00f4te, d’injecter des commandes qui s’ex\u00e9cutent \u00e0 la racine niveau, ou fuite de donn\u00e9es syst\u00e8me de l’h\u00f4te vers la VM”, l’entreprise mentionn\u00e9<\/a>.<\/p>\n Cyrille Chatras, Pierre Denouel et Lo\u00efc Restoux du groupe Orange sont cr\u00e9dit\u00e9s pour avoir d\u00e9couvert et signal\u00e9 les probl\u00e8mes. Des mises \u00e0 jour ont \u00e9t\u00e9 publi\u00e9es dans la version 4.7.1.<\/p>\n La soci\u00e9t\u00e9 d’\u00e9quipements de r\u00e9seau a d\u00e9clar\u00e9 que les failles affectent Cisco Enterprise NFVIS dans la configuration par d\u00e9faut. Les d\u00e9tails des trois bogues sont les suivants –<\/p>\n Cisco s’est \u00e9galement attaqu\u00e9 r\u00e9cemment \u00e0 une faille tr\u00e8s grave dans ses logiciels Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) qui pourrait permettre \u00e0 un attaquant distant authentifi\u00e9, mais non privil\u00e9gi\u00e9, d’\u00e9lever ses privil\u00e8ges au niveau 15.<\/p>\n “Cela inclut l’acc\u00e8s au niveau de privil\u00e8ge 15 \u00e0 l’appareil \u00e0 l’aide d’outils de gestion tels que Cisco Adaptive Security Device Manager (ASDM) ou Cisco Security Manager (CSM)”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. c’est not\u00e9<\/a> dans un avis pour CVE-2022-20759 (score CVSS\u00a0: 8,8).<\/p>\n En outre, Cisco a publi\u00e9 la semaine derni\u00e8re un “avis de terrain<\/a>” exhortant les utilisateurs des appliances Catalyst 2960X\/2960XR \u00e0 mettre \u00e0 niveau leur logiciel vers la version IOS 15.2(7)E4 ou ult\u00e9rieure pour activer de nouvelles fonctionnalit\u00e9s de s\u00e9curit\u00e9 con\u00e7ues pour “v\u00e9rifier l’authenticit\u00e9 et l’int\u00e9grit\u00e9 de nos solutions” et \u00e9viter les compromis.<\/p>\n <\/p>\n<\/div>\n\n
\n
\n