Vulnérabilité dans les logiciels Cisco ASA et Cisco FTD
Date de publication :
Une vulnérabilité a été corrigée par le fournisseur Cisco en Novembre 2019. Le bulletin de sécurité la concernant a été mis à jour car il a été découvert que cette vulnérabilité, en plus d'impacter le logiciel Cisco FTD, affecte également le logiciel Cisco ASA.
CVE-2019-15992[Score CVSS v3 : 7.2] : Une vulnérabilité dans l'interpréteur du langage Lua implémenté dans certains logiciels Cisco a été corrigée. Un attaquant distant et non-authentifié peut potentiellement exploiter cette faille afin d'injecter du code arbitraire avec les privilèges racines sur le système d’exploitation Linux sous-jacent.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Injection de code arbitraire
Criticité
Score CVSS v3 : 7.2
Existence d’un code d’exploitation
Aucun code d’exploitation n’existe publiquement à l’heure actuelle.
Composants vulnérables
Les versions de Cisco ASA de v9.4 à v9.15 sont impactées par cette vulnérabilité.
Pour le logiciel Cisco FTD, le vecteur d’attaque ne provient pas d’un composant interne au logiciel mais du logiciel Cisco FMC.
Les versions de Cisco FMC antérieures à la version 6.3.0 ainsi que les versions 6.3.0, 6.4.0 et 6.5.0 non-patchées sont impactées par cette vulnérabilité.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les logiciels Cisco concernés conformément aux instructions de l’avis de sécurité en référence de ce bulletin.
Solution de contournement
Aucune solution de contournement n’est proposée publiquement à l’heure actuelle.