Multiples vulnérabilités dans Cisco
Date de publication :
Date de mise à jour :
CVE-2022-20933 [Score CVSS v3.1: 8.6]
Un défaut de vérification des données envoyées lors de l’initialisation d’une connexion VPN AnyConnect vers un routeur Meraki MX ou Z3 permet à un attaquant non authentifié, en envoyant une requête spécifiquement forgée, de provoquer un déni de service.
CVE-2022-20822[Score CVSS v3.1:7.1]
Un défaut de vérification des données envoyées vers l’interface de gestion web Cisco Identity Services Engine permet à un attaquant authentifié, en envoyant une requête HTTP contenant une séquence de caractères spécifiquement forgée, de lire ou supprimer certains fichiers sur le système.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Risques
Déni de service
Lecture et suppression de fichiers
Criticité
Score CVSS v3.1: 8.6 max
La faille est activement exploitée
Oui, pour la CVE-2022-20933.
Un correctif existe
Oui, pour la CVE-2022-20933.
Une mesure de contournement existe
Oui, pour la CVE-2022-20933.
La vulnérabilité exploitée est du type
Pour la CVE-2022-20933
CWE-234: Failure to Handle Missing Parameter
Pour la CVE-2022-20822
CWE-20: Improper Input Validation
Détails sur l’exploitation
Pour la CVE-2022-20933
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Non.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-20822
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour la CVE-2022-20933
Cisco Meraki MX64
Cisco Meraki MX64W
Cisco Meraki MX65
Cisco Meraki MX65W
Cisco Meraki MX67
Cisco Meraki MX67CW
Cisco Meraki MX67W
Cisco Meraki MX68
Cisco Meraki MX68CW
Cisco Meraki MX68W
Cisco Meraki MX75
Cisco Meraki MX84
Cisco Meraki MX85
Cisco Meraki MX95
Cisco Meraki MX100
Cisco Meraki MX105
Cisco Meraki MX250
Cisco Meraki MX400
Cisco Meraki MX450
Cisco Meraki MX600
Cisco Meraki vMX
Cisco Meraki Z3C
Cisco Meraki Z3
Pour la CVE-2022-20822
Cisco ISE versions 3 .1 et 3.2
Solutions ou recommandations
Pour la CVE-2022-20933
- Mettre à jour les routeurs Cisco Meraki vers les versions 16.16.6, 17.10.1 ou vers une version supérieure.
- Il est possible de se protéger de la vulnérabilité en désactivant le VPN Cisco AnyConnect.
- Plus d’informations disponibles ici.
Pour la CVE-2022-20822
- Des mises à jour corrigeant cette vulnérabilité seront disponibles pour Cisco ISE 3.1, en novembre 2022 (version 3.1P5) et pour Cisco ISE 3.2 en janvier 2023 (version 3.2P1).
- Une surveillance des journaux d'activités est recommandée.
- Plus d’informations disponibles ici.