Vulnérabilités critiques dans Cisco Enterprise NFV
Date de publication :
CVE-2022-20777[Score CVSS v3.1 : 9.9] (critique)
Une faille critique dans Cisco Enterprise NFV provoque des restrictions de sessions « invités » inappropriées dans la fonctionnalité d'entrée/sortie de nouvelle génération (NGIO). En envoyant un appel d'API spécialement forgé à partir d'une machine virtuelle qui s'exécutera avec des privilèges de niveau racine sur l'hôte NFVIS, un attaquant peut contourner la politique de sécurité et compromettre totalement l'hôte NFVIS avec les privilèges les plus élevés.
CVE-2022-20779[Score CVSS v3.1 : 8.8]
Cisco Enterprise NFV présente un défaut de validation des entrées dans son processus d'enregistrement d’images disque. En persuadant sa victime d'installer une image de logiciel dotée de métadonnées spécialement forgées, un attaquant distant peut exécuter des commandes arbitraires avec les privilèges les plus élevés.
CVE-2022-20780[Score CVSS v3.1 : 7.4]
Cisco Enterprise NFV présente un défaut de gestion des déclarations d'entité externe XML. En persuadant sa victime d'importer un fichier XML spécialement forgé, un attaquant distant peut accéder aux informations système de l'hôte.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Elévation de privilèges
Exécution de code arbitraire (à distance)
Contournement de la politique de sécurité
Atteinte à la confidentialité des données
Criticité
Score CVSS v3.1: 9.9 max
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour les CVE-2022-20777 et CVE-2022-20779
CWE-284: Improper Access Control
Pour la CVE-2022-20780
CWE-611: Improper Restriction of XML External Entity Reference
Détails sur l’exploitation
Pour la CVE-2022-20777
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-20779
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-20780
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour l’ensemble des CVE présentées :
Cisco Enterprise NFV Infrastructure Software (NFVIS) aux versions 4.0 et antérieures est affecté par cette vulnérabilité.
Solutions ou recommandations
Pour l’ensemble des CVE présentées :
- Mettre à jour Cisco Enterprise NFV Infrastructure Software (NFVIS) à la version 4.7.1.
- Des informations complémentaires sur la mise à jour sont disponibles ici.