Cisco a découvert que certains de ses produits ne sont pas complètement sûrs. La société avertit les utilisateurs de quatre erreurs à haut risque.
Le service de messagerie et les produits de sécurité web de Cisco contiennent quatre vulnérabilités dangereuses. Cela rend les dispositifs virtuels et matériels peu sûrs.
Corrections
Un correctif pour la faille CVE-2022-20664 est déjà disponible en ligne, ce qui permet de sécuriser à nouveau les services de votre propre entreprise. Il est conseillé de le faire rapidement, car la vulnérabilité a reçu un score de risque de 7,7 sur 10 par CVSS.
Les versions du produit qui existent depuis un certain temps ne peuvent pas installer le correctif. Cisco espère que cela poussera ces clients vers une version plus récente de l’appareil.
Actuellement, l’équipe de sécurité de l’entreprise n’a pas encore détecté de cas d’exploitation en pleine vue. L’exploitation n’est possible que par les personnes qui ont accès aux dispositifs. À partir d’un accès au niveau de l’opérateur, il est possible de voler des informations sensibles.
Accès plus élevé requis
Une autre faille, CVE-2022-20829, présente un niveau de menace moyen selon l’entreprise. Ce classement est attribué car l’exploitation de la vulnérabilité nécessite un accès de niveau administrateur. Néanmoins, le CVSS attribue à la faille un score de risque de 9,1 sur 10.
La faille peut être exploitée en téléchargeant une image contenant du code malveillant dans un appareil sur lequel est installé l’Adaptive Security Appliance (ASA) de Cisco. Dès qu’un utilisateur tente d’accéder à ce dispositif via l’Adaptive Security Device Manager (ASDM) de Cisco, le code dangereux peut être exécuté.
L’élimination de la vulnérabilité est possible en mettant à jour les deux appareils. Pour la version 9.18 de l’ASA, cette option n’est disponible qu’à partir du mois d’août.
Autres vulnérabilités
Les deux erreurs restantes ont toutes deux reçu un score de risque plus bas. Dans l’analyseur CLI du logiciel Firepower pour le module ASA Firepower, le score est de 6,5 sur 10. La dernière faille reçoit une note de 5,4 sur 10 et se situe dans l’interface web de Cisco Enterprise Chat and Email.
La première erreur recevra une première mise à jour logicielle en juillet et une seconde à la fin de l’année. Cependant, toutes les versions jusqu’à 6.2.2 et les versions 6.3.0 et 6.5.0 ne recevront pas ces mises à jour. Une solution pour la deuxième erreur est encore en cours d’élaboration.