Vulnérabilités dans RCM, CONFD et MODBUS de CISCO
Date de publication :
CVE-2022-20649[Score CVSS v3.1: 9.0]
Cette vulnérabilité concerne le produit Redundancy Configuration Manager (RCM) pour le système d’exploitation StarOS de Cisco. RCM permet la redondance de certaines fonctions utiles pour l’utilisateur. La configuration sécurisée du mode débogage a été identifiée comme incomplète dans plusieurs services. Il est possible de se connecter au RCM et de profiter du mode débogage pour mener des actions malveillantes. L’exploitation de cette vulnérabilité par un attaquant permet l’exécution de code arbitraire avec les droits supérieurs. Point important : l’exploitation peut être réalisée par un attaquant distant authentifié ou non authentifié.
CVE-2022-20655[Score CVSS v3.1: 8.8]
L’uilisation de l’interface en ligne de commande (CLI) sur un équipement doté de l’outil ConfD a été identifiée comme vulnérable. ConfD est un outil permettant le développement d’applications et d’interfaces pour améliorer la gestion d’un produit. Il est possible d’injecter du code malveillant pour compromettre ConfD. L’exploitation de cette vulnérabilité par un attaquant local et authentifié permet d’exécuter du code arbitraire avec les hauts privilèges sur le système d’exploitation.
CVE-2022-20685[Score CVSS v3.1: 7.5]
Le traitement des données par le module Modbus n’est pas réalisé de manière optimale. Présent dans le système de détection Snort de Cisco, le module Modbus permet l’inspection et le décodage de certains protocoles. Il est possible d’injecter du code malveillant dans le trafic pour compromettre Modbus. L’exploitation de cette vulnérabilité par un attaquant distant et non authentifié permet de générer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Injection de commande
- Déni de service
Criticité
- Score CVSS v3.1: 9.0 max
La faille est activement exploitée
- Non, pour l’ensemble des CVE présentés
Un correctif existe
- Oui, pour l’ensemble des CVE présentés
Une mesure de contournement existe
- Non, pour l’ensemble des CVE présentés
Les vulnérabilités exploitées sont du type
Pour la CVE-2022-20649
- CWE-200 : Exposure of Sensitive Information to an Unauthorized Actor
- CWE-400 : Uncontrolled Resource Consumption
Pour la CVE-2022-20655
- CWE 78 : OS Command Injection
Pour la CVE-2022-20685
- CWE-190 : Integer Overflow or Wraparound
Détails sur l’exploitation
Pour la CVE-2022-20649
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Haute
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour laCVE-2022-20655
- Vecteur d’attaque : Local
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Pour la CVE-2022-20685
- Vecteur d’attaque : Réseau
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Aucun
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Pour CVE-2022-20649
- Cisco Redundancy Configuration Manager (RCM) pour StarOs, les versions avant 21.25
Pour la CVE-2022-20655
- ConfD 6.3, ainsi que les versions antérieures
- ConfD 6.4
- ConfD 6.5
- ConfD 6.6
- ConfD 6.7
Pour la CVE-2022-20685
Cisco FTD
- 6.2.2
- 6.2.3
- 6.3.0
- 6.4.0
- 6.5.0
- 6.6.0
- 6.7.0
- 7.0.0
Cyber Vision
- 3.2, ainsi que les versions antérieures
- 4.0
Meraki MX
- MX 14
- MX 15
- MX 16
UTD
- 16.12
- 17.3
- 17.6
- 17.7
SNORT
- 2.X
- 3.X
Solutions ou recommandations
Pour la CVE-2022-20649
- Des informations supplémentaires sont disponiblesici.
- Effectuer la mise à jour vers la version 21.25.4
Pour la CVE-2022-20655
- Des informations supplémentaires sont disponibles ici.
- Pour ConfD 6.3 et les versions antérieures, mettre à jour vers la version 6.3.9.1
- Pour ConfD 6.4, mettre à jour vers la version 6.4.7.2 et 6.4.8
- Pour ConfD 6.5, mettre à jour vers la version 6.5.7
- Pour ConfD 6.6, mettre à jour vers la version 6.6.2
- Pour ConfD 6.7, mettre à jour vers la version 6.7.1
- Pour ConfD 7.1, et les versions ultérieures : non vulnérables.
Pour la CVE-2022-20685
- Des informations supplémentaires sont disponibles ici.
Cisco FTD
- Pour la version 6.2.2, migrer vers une version corrigée.
- Pour la version 6.2.3, migrer vers une version corrigée.
- Pour la version 6.3.0, migrer vers une version corrigée.
- Pour la version 6.4.0, effectuer la mise à jour vers la version 6.4.0.13
- Pour la version 6.5.0, migrer vers une version corrigée.
- Pour la version 6.6.0, effectuer la mise à jour vers la version 6.6.5.1
- Pour la version 6.7.0, migrer vers une version corrigée.
- Pour la version 7.0.0, effectuer la mise à jour vers la version 7.0.1
Cyber Vision
- Pour la version 3.2, migrer vers une version corrigée.
- Pour la version 4.0, effectuer la mise à jour vers la version 4.0.2
Meraki MX
- Pour MX 14, migrer vers une version corrigée.
- Pour MX 15, migrer vers une version corrigée.
- Pour MX 16, un correctif sera disponible en février et publié en mars 2021.
UTD
- Pour la version 16.12, effectuer la mise à jour vers la version 16.12.7
- Pour la version 17.3, effectuer la mise à jour vers la version 17.3.5
- Pour la version 17.6, effectuer la mise à jour vers la version 17.6.2
- Pour la version 17.7 : elle est non vulnérable
SNORT
- Pour la version 2.X, effectuer la mise à jour vers la version 2.9.19
- Pour la version 3.X, effectuer la mise à jour vers la version 3.1.11.0