Vulnérabilités dans RCM, CONFD et MODBUS de CISCO
Date de publication :
CVE-2022-20649[Score CVSS v3.1: 9.0]
Cette vulnérabilité concerne le produit Redundancy Configuration Manager (RCM) pour le système d’exploitation StarOS de Cisco. RCM permet la redondance de certaines fonctions utiles pour l’utilisateur. La configuration sécurisée du mode débogage a été identifiée comme incomplète dans plusieurs services. Il est possible de se connecter au RCM et de profiter du mode débogage pour mener des actions malveillantes. L’exploitation de cette vulnérabilité par un attaquant permet l’exécution de code arbitraire avec les droits supérieurs. Point important : l’exploitation peut être réalisée par un attaquant distant authentifié ou non authentifié.
CVE-2022-20655[Score CVSS v3.1: 8.8]
L’uilisation de l’interface en ligne de commande (CLI) sur un équipement doté de l’outil ConfD a été identifiée comme vulnérable. ConfD est un outil permettant le développement d’applications et d’interfaces pour améliorer la gestion d’un produit. Il est possible d’injecter du code malveillant pour compromettre ConfD. L’exploitation de cette vulnérabilité par un attaquant local et authentifié permet d’exécuter du code arbitraire avec les hauts privilèges sur le système d’exploitation.
CVE-2022-20685[Score CVSS v3.1: 7.5]
Le traitement des données par le module Modbus n’est pas réalisé de manière optimale. Présent dans le système de détection Snort de Cisco, le module Modbus permet l’inspection et le décodage de certains protocoles. Il est possible d’injecter du code malveillant dans le trafic pour compromettre Modbus. L’exploitation de cette vulnérabilité par un attaquant distant et non authentifié permet de générer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Injection de commande
Déni de service
Criticité
Score CVSS v3.1: 9.0 max
La faille est activement exploitée
Non, pour l’ensemble des CVE présentés
Un correctif existe
Oui, pour l’ensemble des CVE présentés
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentés
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-20649
CWE-200 : Exposure of Sensitive Information to an Unauthorized Actor
CWE-400 : Uncontrolled Resource Consumption
Pour la CVE-2022-20655
CWE 78 : OS Command Injection
Pour la CVE-2022-20685
CWE-190 : Integer Overflow or Wraparound
Détails sur l’exploitation
Pour la CVE-2022-20649
Vecteur d’attaque : Réseau
Complexité de l’attaque : Haute
Privilèges nécessaires pour réaliser l’attaque : Aucun
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour laCVE-2022-20655
Vecteur d’attaque : Local
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2022-20685
Vecteur d’attaque : Réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Aucun
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Pour CVE-2022-20649
Cisco Redundancy Configuration Manager (RCM) pour StarOs, les versions avant 21.25
Pour la CVE-2022-20655
ConfD 6.3, ainsi que les versions antérieures
ConfD 6.4
ConfD 6.5
ConfD 6.6
ConfD 6.7
Pour la CVE-2022-20685
Cisco FTD
6.2.2
6.2.3
6.3.0
6.4.0
6.5.0
6.6.0
6.7.0
7.0.0
Cyber Vision
3.2, ainsi que les versions antérieures
4.0
Meraki MX
MX 14
MX 15
MX 16
UTD
16.12
17.3
17.6
17.7
SNORT
2.X
3.X
Solutions ou recommandations
Pour la CVE-2022-20649
- Des informations supplémentaires sont disponiblesici.
- Effectuer la mise à jour vers la version 21.25.4
Pour la CVE-2022-20655
- Des informations supplémentaires sont disponibles ici.
- Pour ConfD 6.3 et les versions antérieures, mettre à jour vers la version 6.3.9.1
- Pour ConfD 6.4, mettre à jour vers la version 6.4.7.2 et 6.4.8
- Pour ConfD 6.5, mettre à jour vers la version 6.5.7
- Pour ConfD 6.6, mettre à jour vers la version 6.6.2
- Pour ConfD 6.7, mettre à jour vers la version 6.7.1
- Pour ConfD 7.1, et les versions ultérieures : non vulnérables.
Pour la CVE-2022-20685
- Des informations supplémentaires sont disponibles ici.
Cisco FTD
- Pour la version 6.2.2, migrer vers une version corrigée.
- Pour la version 6.2.3, migrer vers une version corrigée.
- Pour la version 6.3.0, migrer vers une version corrigée.
- Pour la version 6.4.0, effectuer la mise à jour vers la version 6.4.0.13
- Pour la version 6.5.0, migrer vers une version corrigée.
- Pour la version 6.6.0, effectuer la mise à jour vers la version 6.6.5.1
- Pour la version 6.7.0, migrer vers une version corrigée.
- Pour la version 7.0.0, effectuer la mise à jour vers la version 7.0.1
Cyber Vision
- Pour la version 3.2, migrer vers une version corrigée.
- Pour la version 4.0, effectuer la mise à jour vers la version 4.0.2
Meraki MX
- Pour MX 14, migrer vers une version corrigée.
- Pour MX 15, migrer vers une version corrigée.
- Pour MX 16, un correctif sera disponible en février et publié en mars 2021.
UTD
- Pour la version 16.12, effectuer la mise à jour vers la version 16.12.7
- Pour la version 17.3, effectuer la mise à jour vers la version 17.3.5
- Pour la version 17.6, effectuer la mise à jour vers la version 17.6.2
- Pour la version 17.7 : elle est non vulnérable
SNORT
- Pour la version 2.X, effectuer la mise à jour vers la version 2.9.19
- Pour la version 3.X, effectuer la mise à jour vers la version 3.1.11.0