Cisco corrige de multiples vulnérabilités sur ses produits

Cisco Systems a corrigé 20 vulnérabilités sur ses produits et logiciels, 8 étant considérées comme modérées et 11 comme importantes. L'impact de ces dernières sur la confidentialité et l'intégrité des données est élevé.

Parmi les différentes possibilités qui découlent de leur exploitation, on retrouve le déni de service, une corruption de mémoire, l'exécution de code arbitraire ou l'escalade de ses privilèges.

Les vulnérabilités ont principalement été découvertes par les équipes Cisco, qui indiquent qu’aucune de ces vulnérabilités n'aurait été exploitée.

Détails techniques :

  • CVE-2019-1886 [CVSS v3 8.6 ](Cisco Web Security Appliance (WSA) Une vulnérabilité présente dans la fonction de déchiffrement HTTPS de Cisco Web Security Appliance (WSA) qui pourrait permettre à un attaquant distant non authentifié de provoquer un déni de service. 
    • La vulnérabilité est due à une validation insuffisante des certificats de serveurs SSL (Secure Sockets Layer).
    • Un attaquant pourrait exploiter cette vulnérabilité en installant un certificat malformé dans un serveur Web et en lui envoyant une requête via le WSA Cisco et permettre à l'attaquant de provoquer un redémarrage inattendu du processus proxy sur le périphérique affecté.
  • CVE-2019-1892 [CVSS v3 7.5 ] (Cisco Small Business 200, 300, and 500 Series) : Une vulnérabilité du processeur de gestion du protocole SSL (Secure Sockets Layer) des commutateurs gérés Cisco Small Business séries 200, 300 et 500 pourrait permettre à un attaquant distant non authentifié de provoquer une corruption de mémoire sur un périphérique affecté.
    • La vulnérabilité est due à une mauvaise validation des requètes HTTPS, pour laquelle un attaquant pourrait exploiter cette vulnérabilité en envoyant une requète HTTPS malformée à l'interface web de gestion du périphérique concerné.
    • Un exploit réussi pourrait permettre à l'attaquant de provoquer un rechargement inattendu de l'appareil, entraînant le déni de service.
  • CVE-2019-1891 [CVSS v3 7.5 ] (Cisco Small Business 200, 300, and 500 Series) Une vulnérabilité de l'interface Web des commutateurs gérés Cisco Small Business des séries 200, 300 et 500 pourrait permettre à un attaquant distant non authentifié de provoquer un déni de service sur un périphérique affecté. 
    • La vulnérabilité est due à une mauvaise validation des requêtes envoyées à l'interface web.
    • Un attaquant pourrait alors exploiter cette vulnérabilité en envoyant une requête malveillante à l'interface Web d'un périphérique affecté et pourrait lui permettre de provoquer un rechargement inattendu de l'appareil, entraînant le déni de service.
  • CVE-2019-1894 [CVSS v3 7.2 ]Cisco Enterprise NFV Infrastructure Software (NFVIS) : Une vulnérabilité dans le logiciel Cisco Enterprise NFV Infrastructure Software (NFVIS) pourrait permettre à un attaquant distant authentifié et doté de privilèges d'administrateur d'écraser ou de lire des fichiers arbitraires sur le système d'exploitation sous-jacent d'un périphérique affecté. 
    • La vulnérabilité est due à une mauvaise validation des entrées dans les commandes du système de fichiers du NFVIS.
    • Un attaquant pourrait alors exploiter cette vulnérabilité en utilisant des variables créées lors de l'exécution d'une commande affectée.
  • CVE-2019-1893 [CVSS v3 7.8 ] Cisco Enterprise NFV Infrastructure Software (NFVIS) : Une vulnérabilité dans Cisco Enterprise NFV Infrastructure Software (NFVIS) pourrait permettre à un attaquant local authentifié d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent d'un périphérique affecté en tant qu'administrateur.
    • La vulnérabilité est due à une validation d'entrée insuffisante d'un fichier de configuration accessible à un utilisateur shell local.
    • Un attaquant pourrait alors exploiter cette vulnérabilité en incluant des entrées malveillantes lors de l'exécution de ce fichier.
  • CVE-2019-1890 [CVSS v3 7.4 ]  Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) : Une vulnérabilité dans l'établissement de la connexion VLAN de l'infrastructure fabric du logiciel de commutation de mode Cisco Nexus 9000 Series Application Centric Infrastructure (ACI) pourrait permettre à un attaquant adjacent non authentifié de contourner les validations de sécurité et de connecter un serveur non autorisé à l'infrastructure VLAN. 
    • La vulnérabilité est due à des exigences de sécurité insuffisantes pendant la phase de configuration du protocole de découverte de couche de liaison (LLDP) du VLAN de l'infrastructure.
    • Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet LLDP modifié sur le sous-réseau adjacent au commutateur Cisco Nexus 9000 Series en mode ACI. Un exploit réussi pourrait permettre à l'attaquant de connecter un serveur non autorisé au VLAN de l'infrastructure, ce qui est hautement privilégié. Avec une connexion au VLAN de l'infrastructure, l'attaquant peut établir des connexions non autorisées aux services Cisco Application Policy Infrastructure Controller (APIC) ou rejoindre d'autres terminaux hôtes.
  • CVE-2019-1855 [CVSS v3 7.3 ](Cisco Jabber pour Windows) : Une vulnérabilité dans le mécanisme de chargement de bibliothèques de liens dynamiques spécifiques dans Cisco Jabber pour Windows pourrait permettre à un attaquant local authentifié d'effectuer une attaque de préchargement DLL et d'exécuter du code arbitraire sur la machine cible avec les privilèges du compte d'un autre utilisateur.
    • Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'informations d'identification valides sur le système Windows. La vulnérabilité est due à une validation insuffisante des ressources chargées par l'application au moment de l'exécution.
    • Un attaquant pourrait exploiter cette vulnérabilité en créant un fichier DLL malveillant et en le plaçant à un emplacement spécifique sur le système cible. Le fichier DLL malveillant s'exécutera lorsque l'application Jabber sera lancée.
  • CVE-2019-1887 [CVSS v3 8.6 ] (Cisco Unified Communications Manager) : Une vulnérabilité dans l'implémentation du protocole SIP (Session Initiation Protocol) de Cisco Unified Communications Manager pourrait permettre à un attaquant distant non authentifié de provoquer un déni de service.
    • La vulnérabilité est due à une validation insuffisante du trafic SIP d'entrée.
    • Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet SIP malformé à un Cisco Unified Communications Manager affecté, lui permettant de déclencher un nouveau processus d'enregistrement sur tous les téléphones connectés, interrompant temporairement le service.
  • CVE-2019-1889 [CVSS v3 7.2 ] (Cisco Application Policy Infrastructure Controller (APIC) : Une vulnérabilité dans l'API REST pour la gestion des périphériques logiciels dans le logiciel Cisco Application Policy Infrastructure Controller (APIC) pourrait permettre à un attaquant distant authentifié disposant déjà des droits d'aministrateur d'escalader ses privilèges sur le périphérique affecté.
    • La vulnérabilité est due à une validation incomplète et à une vérification d'erreur du chemin d'accès au fichier lors du téléchargement d'un logiciel spécifique.
    • Un attaquant pourrait exploiter cette vulnérabilité en téléchargeant un logiciel malveillant à l'aide de l'API REST, lui permettant d'escalader son niveau de privilèges jusqu'à la racine sur le périphérique accepté.
  • CVE-2019-1884 [CVSS v3 7.7 ] (Cisco Web Security Appliance (WSA)) : Une vulnérabilité dans la fonctionnalité de proxy Web du logiciel Cisco AsyncOS pour Cisco Web Security Appliance (WSA) pourrait permettre à un attaquant distant authentifié de provoquer un déni de service sur un périphérique affecté.
    • La vulnérabilité est due à l'insuffisance des mécanismes de validation des entrées pour certains champs des requêtes HTTP/HTTPS envoyées via un périphérique affecté.
    • Un attaquant réussi pourrait exploiter cette vulnérabilité en envoyant une requête HTTP/HTTPS malveillante via un périphérique affecté, lui permettant de forcer le périphérique à arrêter le traitement du trafic et entraînant ainsi un déni de service.
Informations
+

Risques

  • Corruption de mémoire
  • Déni de service
  • Elévation de privilège
  • Exécution de code arbitraire

Criticité

  • Score CVSS : en cours d'évaluation

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'a été diffusé.

Composants & versions vulnérables

  • Cisco Web Security Appliance (WSA)
  • Cisco Small Business 200, 300, and 500 Series
  •  Cisco Nexus 9000 Series Application Centric Infrastructure (ACI)
  • Cisco Jabber pour Windows
  • Cisco Unified Communications Manager
  • Cisco Application Policy Infrastructure Controller (APIC)
  • Cisco Nexus 9000 Series Application Centric Infrastructure (ACI)
  • Cisco Enterprise NFV Infrastructure Software (NFVIS)
  • La liste des versions est détaillée dans le bulletin de Cisco

CVE

  • CVE-2019-1649
  • CVE-2019-1855
  • CVE-2019-1884
  • CVE-2019-1886
  • CVE-2019-1887
  • CVE-2019-1889
  • CVE-2019-1890
  • CVE-2019-1891
  • CVE-2019-1892
  • CVE-2019-1893
  • CVE-2019-1894
  • CVE-2019-1906
  • CVE-2019-1909
  • CVE-2019-1911
  • CVE-2019-1921
  • CVE-2019-1922
  • CVE-2019-1930
  • CVE-2019-1931
  • CVE-2019-1932
  • CVE-2019-1933

Recommandations
+

Mise en place de correctif de sécurité

  • Cisco a publié des correctifs pour l'ensemble des vulnérabilités citées.

Solution de contournement

  • Aucune solution de contournement n'a été diffusée.