Multiples vulnérabilités dans Cisco
Date de publication :
Cisco NFVIS est un système de gestion de réseaux virtuels Cisco Entreprise NFV.
CVE-2022-20929[Score CVSS v3.1: 7.8]
Une vérification insuffisante de la signature cryptographique des fichiers de mises à jour permet à un attaquant local, en persuadant un administrateur d’utiliser un fichier de mise à jour non authentique, de compromettre le système Cisco NFVIS.
CVE-2022-20814[Score CVSS v3.1:7.4]
Un manque de vérification du certificat SSL lors d’une connexion vers un appareil Cisco Unified Communications Manager permet à un attaquant, en menant une attaque du type homme du milieu, d’intercepter le trafic réseau afin de le lire ou de le modifier.
CVE-2022-20853[Score CVSS v3.1:7.4]
Une protection insuffisante contre les attaques du type CSRF dans l’interface de programmation d’application REST permet à un attaquant, en persuadant une victime à cliquer sur un lien spécifiquement forgé, de forcer un redémarrage du système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Compromission du réseau
Atteinte à la confidentialité
Atteinte à l’intégrité
Atteinte à la disponibilité
Criticité
Score CVSS v3.1: 7.8 max
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour la CVE-2022-20929
CWE-347: Improper Verification of Cryptographic Signature
Pour la CVE-2022-20814
CWE-295: Improper Certificate Validation
Pour la CVE-2022-20853
CWE-352: Cross-Site Request Forgery (CSRF)
Détails sur l’exploitation
Pour la CVE-2022-20929
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-20814
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Élevée.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-20853
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour la CVE-2022-20929
Cisco NFVIS versions inférieures à 4.9.1
Pour la CVE-2022-20814
Cisco Expressway Control (Expressway-C) versions 14.0 et inférieures
Cisco TelePresence Video Communication Server (VCS) versions 14.0 et inférieures
Pour la CVE-2022-20853
Cisco Expressway Control (Expressway-C) versions 14.0 et inférieures
Cisco Expressway Edge (Expressway-E) versions 14.0 et inférieures
Cisco TelePresence Video Communication Server (VCS) versions 14.0 et inférieures
Solutions ou recommandations
Pour la CVE-2022-20929
- Mettre à jour Cisco NFVIS vers la version 4.9.1 ou une version supérieure.
Pour la CVE-2022-20814
- Mettre à jour Cisco Expressway Control (Expressway-C) et Cisco TelePresence Video Communication Server (VCS) vers la version 14.0.9 pour CSCwa25097 et 14.2 CSCwa25108.
Pour la CVE-2022-20853
- Cisco Expressway Control (Expressway-C), Cisco Expressway Edge (Expressway-E) et Cisco TelePresence Video Communication Server (VCS) vers la version 14.0.9 pour CSCwa25097 et 14.2 CSCwa25108.