Cisco corrige des vulnérabilités importantes sur les produits fonctionnant sous Cisco IOS Software et Cisco IOS XE Software

Cisco a publié le 27 mars une série de 23 nouveaux bulletins de vulnérabilités affectant ses produits. Parmi les vulnérabilités corrigées, 17 sont considérées comme importantes et les 6 autres comme moyennes.

L'impact sur la disponibilité, l'intégrité et la confidentialité des données est élevé. En effet, l'exploitation des vulnérabilités critiques peut être réalisée à distance, ne nécessite ni privilège, ni interaction avec un utilisateur et se révèle simple à mettre en œuvre.

Dans cette série de bulletins, les vulnérabilités affectent essentiellement les produits fonctionnant sous les OS "Cisco IOS Software et Cisco IOS XE Software". Toutes les vulnérabilités ont été découvertes par les équipes Cisco, aussi, l'organisation indique qu'aucune de ces vulnérabilités n'a été exploitée.

Détails Techniques :

Les vulnérabilités les plus critiques ont été référencées comme suit :

• CVE-2019-1753 [CVSS V3 8.8] : Une vulnérabilité dans l'interface utilisateur Web du logiciel Cisco IOS XE pourrait permettre à un attaquant authentifié à distance mais sans privilèges d'exécuter des commandes Cisco IOS avec des privilèges élevés en utilisant l'interface utilisateur Web. La vulnérabilité est due à l'échec de la validation et de la vérification des données saisies dans le gestionnaire des services Web (Web Services Management Agent - WSMA). Un attaquant pourrait exploiter cette vulnérabilité en soumettant une tâche malveillante à l'interface Web du périphérique affecté. Un exploit pourrait permettre à un attaquant avec de faibles privilèges d'exécuter des commandes arbitraires avec des privilèges plus élevés sur le périphérique affecté.

• CVE-2019-1743 [CVSS V3 8.8] : Une vulnérabilité dans l'interface utilisateur Web du logiciel Cisco IOS XE pourrait permettre à un attaquant authentifié à distance d'apporter des modifications non autorisées au système de fichiers du périphérique concerné. La vulnérabilité est due à une mauvaise validation des données saisies en entrée. Un attaquant pourrait exploiter cette vulnérabilité en créant un fichier malveillant et en le téléchargeant sur l'appareil. Un exploit pourrait permettre à l'attaquant d'obtenir des privilèges élevés sur le périphérique affecté.

• CVE-2019-1745 [CVSS V3 8.8] : Une vulnérabilité dans Cisco IOS XE Software pourrait permettre à un attaquant authentifié localement d'injecter des commandes arbitraires qui seront exécutées avec des privilèges élevés. La vulnérabilité est due à une validation insuffisante des commandes fournies par l'utilisateur. Un exploit pourrait permettre à l'attaquant d'obtenir des privilèges administrateur ("root") sur le périphérique affecté.