Multiples vulnérabilités dans Cisco
Date de publication :
CVE-2022-20933[Score CVSS v3.1: 8.6]
Un défaut de vérification des données envoyées lors de l’initialisation d’une connexion VPN AnyConnect vers un routeur Meraki MX ou Z3 permet à un attaquant non authentifié, en envoyant une requête spécifiquement forgée, de provoquer un déni de service.
CVE-2022-20822[Score CVSS v3.1:7.1]
Un défaut de vérification des données envoyées vers l’interface de gestion web Cisco Identity Services Engine permet à un attaquant authentifié, en envoyant une requête HTTP contenant une séquence de caractères spécifiquement forgée, de lire ou supprimer certains fichiers sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Lecture et suppression de fichiers
Criticité
- Score CVSS v3.1: 8.6 max
La faille est activement exploitée
- Non, pour l’ensemble des CVE présentées.
Un correctif existe
- Oui, pour la CVE-2022-20933.
Une mesure de contournement existe
- Oui, pour la CVE-2022-20933.
La vulnérabilité exploitée est du type
- Pour la CVE-2022-20933
CWE-234: Failure to Handle Missing Parameter
- Pour la CVE-2022-20822
CWE-20: Improper Input Validation
Détails sur l’exploitation
Pour la CVE-2022-20933
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Non.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-20822
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour la CVE-2022-20933
- Cisco Meraki MX64
- Cisco Meraki MX64W
- Cisco Meraki MX65
- Cisco Meraki MX65W
- Cisco Meraki MX67
- Cisco Meraki MX67CW
- Cisco Meraki MX67W
- Cisco Meraki MX68
- Cisco Meraki MX68CW
- Cisco Meraki MX68W
- Cisco Meraki MX75
- Cisco Meraki MX84
- Cisco Meraki MX85
- Cisco Meraki MX95
- Cisco Meraki MX100
- Cisco Meraki MX105
- Cisco Meraki MX250
- Cisco Meraki MX400
- Cisco Meraki MX450
- Cisco Meraki MX600
- Cisco Meraki vMX
- Cisco Meraki Z3C
- Cisco Meraki Z3
Pour la CVE-2022-20822
- Cisco ISE versions 3 .1 et 3.2
Solutions ou recommandations
Pour la CVE-2022-20933
- Mettre à jour les routeurs Cisco Meraki vers les versions 16.16.6, 17.10.1 ou vers une version supérieure.
- Il est possible de se protéger de la vulnérabilité en désactivant le VPN Cisco AnyConnect.
- Plus d’informations disponibles ici.
Pour la CVE-2022-20822
- Des mises à jour corrigeant cette vulnérabilité seront disponibles pour Cisco ISE 3.1, en novembre 2022 (version 3.1P5) et pour Cisco ISE 3.2 en janvier 2023 (version 3.2P1).
- Une surveillance des journaux d'activités est recommandée.
- Plus d’informations disponibles ici.