Multiples vulnérabilités dans Cisco

Date de publication :

CVE-2022-20933[Score CVSS v3.1: 8.6]
Un défaut de vérification des données envoyées lors de l’initialisation d’une connexion VPN AnyConnect vers un routeur Meraki MX ou Z3 permet à un attaquant non authentifié, en envoyant une requête spécifiquement forgée, de provoquer un déni de service.

CVE-2022-20822[Score CVSS v3.1:7.1]
Un défaut de vérification des données envoyées vers l’interface de gestion web Cisco Identity Services Engine permet à un attaquant authentifié, en envoyant une requête HTTP contenant une séquence de caractères spécifiquement forgée, de lire ou supprimer certains fichiers sur le système.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Lecture et suppression de fichiers

Criticité

  • Score CVSS v3.1: 8.6 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées.

Un correctif existe

Une mesure de contournement existe

La vulnérabilité exploitée est du type

CWE-234: Failure to Handle Missing Parameter

CWE-20: Improper Input Validation

Détails sur l’exploitation

Pour la CVE-2022-20933

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Non.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Pour la CVE-2022-20822

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour la CVE-2022-20933

  • Cisco Meraki MX64
  • Cisco Meraki MX64W
  • Cisco Meraki MX65
  • Cisco Meraki MX65W
  • Cisco Meraki MX67
  • Cisco Meraki MX67CW
  • Cisco Meraki MX67W
  • Cisco Meraki MX68
  • Cisco Meraki MX68CW
  • Cisco Meraki MX68W
  • Cisco Meraki MX75
  • Cisco Meraki MX84
  • Cisco Meraki MX85
  • Cisco Meraki MX95
  • Cisco Meraki MX100
  • Cisco Meraki MX105
  • Cisco Meraki MX250
  • Cisco Meraki MX400
  • Cisco Meraki MX450
  • Cisco Meraki MX600
  • Cisco Meraki vMX
  • Cisco Meraki Z3C
  • Cisco Meraki Z3

Pour la CVE-2022-20822

  • Cisco ISE versions 3 .1 et 3.2

Solutions ou recommandations

Pour la CVE-2022-20933

  • Mettre à jour les routeurs Cisco Meraki vers les versions 16.16.6, 17.10.1 ou vers une version supérieure.
  • Il est possible de se protéger de la vulnérabilité en désactivant le VPN Cisco AnyConnect.
  • Plus d’informations disponibles ici.

Pour la CVE-2022-20822

  • Des mises à jour corrigeant cette vulnérabilité seront disponibles pour Cisco ISE 3.1, en novembre 2022 (version 3.1P5) et pour Cisco ISE 3.2 en janvier 2023 (version 3.2P1).
  • Une surveillance des journaux d'activités est recommandée.
  • Plus d’informations disponibles ici.

Liens