Cisco: plusieurs failles dans des produits de sécurité réseaux

Cisco a éliminé un grand nombre de vulnérabilités de haute gravité dans sa gamme de produits de sécurité réseau. Les failles les plus graves peuvent être exploitées par un attaquant distant non authentifié pour lancer une série d’attaques malveillantes allant du déni de service (DoS) à la falsification de requêtes intersites (CSRF).

Les vulnérabilités se trouvent dans le logiciel Firepower Threat Defense (FTD) de Cisco, qui fait partie de sa suite de produits de sécurité réseau et de gestion du trafic et le logiciel Adaptive Security Appliance (ASA), le système d’exploitation de sa famille de dispositifs de sécurité réseau d’entreprise.

«L’équipe de réponse aux incidents de sécurité des produits Cisco n’a pas connaissance d’annonces publiques ou d’utilisation malveillante de la vulnérabilité décrite dans ce rapport», selon la société américaine dans une mise à jour déployée récemment.

cisco cdpwn

La plus grave de ces failles est une vulnérabilité dans Firepower Chassis Manager (FCM), qui se trouve dans le système d’exploitation extensible Firepower (FXOS) et offre des capacités de gestion.

La faille (CVE-2020-3456) a une note de 8,8 sur 10 sur l’échelle CVSS et est causé par des protections CSRF insuffisantes dans l’interface FCM. Elle pourrait être exploitée pour activer CSRF – ce qui signifie que lorsque les attaquants sont authentifiés sur le serveur, ils ont également le contrôle sur le client.

«Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur ciblé de cliquer sur un lien malveillant», selon la firme américaine. «Un exploit réussi pourrait permettre à l’attaquant d’envoyer des requêtes arbitraires qui pourraient entreprendre des actions non autorisées au nom de l’utilisateur ciblé.»

Le logiciel FXOS est affecté lorsqu’il s’exécute sur Firepower 2100 Series (lors de l’exécution du logiciel ASA en mode non-appliance), sur Firepower 4100 Series et Firepower 9300 Series.

data center network manager

Quatre autres vulnérabilités de haute gravité de la marque Firepower de Cisco pourraient être exploitées par un attaquant distant non authentifié pour paralyser les périphériques affectés avec une condition de déni de service. Il s’agit notamment d’une faille dans le logiciel du centre de gestion de Firepower (CVE-2020-3499), les pare-feu de la gamme Cisco Firepower 2100 (CVE-2020-3562), Cisco Firepower 4110 (CVE-2020-3571) et le logiciel Cisco Firepower Threat Defense (CVE- 2020-3563).

Cisco a également corrigé plusieurs failles de déni de service dans son logiciel Adaptive Security Appliance, y compris celles liées à CVE-2020-3304, CVE-2020-3529, CVE-2020-3528, CVE-2020-3554, CVE-2020-3572 et CVE-2020- 3373 qui pourrait permettre à un attaquant distant non authentifié de provoquer le rechargement inattendu d’un périphérique affecté.

Une autre faille à noter, dans l’interface des services Web de Cisco Adaptive Security Appliance et Firepower Threat Defense, pourrait permettre à un attaquant distant non authentifié de télécharger des fichiers de taille arbitraire vers des dossiers spécifiques sur un périphérique affecté, ce qui pourrait entraîner un rechargement inattendu du périphérique.

La faille provient du fait que le logiciel ne gère pas efficacement l’écriture de fichiers volumineux dans des dossiers spécifiques sur le système de fichiers local.

Une habitudes pour Cisco

Ces nouvelles alertes de sécurité surviennent un jour après que Cisco ait envoyé un avertissement indiquant qu’une faille (CVE-2020-3118) dans l’implémentation du protocole de découverte Cisco pour le logiciel Cisco IOS XR était activement exploitée par des attaquants. La faille, qui pourrait être exploitée par des attaquants adjacents non authentifiés, pourrait leur permettre d’exécuter du code arbitraire ou de provoquer un rechargement sur un appareil affecté.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x