Cisco, fabrikant van netwerkapparatuur, heeft beveiligingsupdates uitgebracht om drie zeer ernstige kwetsbaarheden in zijn producten aan te pakken die kunnen worden misbruikt om een denial-of-service (DoS)-toestand te veroorzaken en de controle over getroffen systemen over te nemen.
De eerste van de drie gebreken, CVE-2022-20783 (CVSS-score: 7,5), is van invloed op Cisco TelePresence Collaboration Endpoint (CE)-software en Cisco RoomOS-software, en komt voort uit een gebrek aan goede invoervalidatie, waardoor een niet-geverifieerde, externe aanvaller speciaal ontworpen verkeer naar de apparaten kan sturen.
“Een succesvolle exploit kan de aanvaller in staat stellen om het getroffen apparaat ofwel normaal opnieuw op te starten of opnieuw op te starten in de onderhoudsmodus, wat kan resulteren in een DoS-conditie op het apparaat”, aldus het bedrijf. dat is genoteerd in een advies.
De Amerikaanse National Security Agency (NSA) wordt gecrediteerd met het ontdekken en rapporteren van de fout. Het probleem is verholpen in Cisco TelePresence CE-softwareversies 9.15.10.8 en 10.11.2.2.
CVE-2022-20773 (CVSS-score: 7,5), de tweede fout die moet worden gepatcht, betreft een statische SSH-hostsleutel die aanwezig is in Cisco Umbrella Virtual Appliance (VA) met een softwareversie eerder dan 3.3.2, waardoor een aanvaller mogelijk een man-in kan uitvoeren -the-middle (MitM) aanval op een SSH-verbinding en kapen de beheerdersreferenties.
Een derde zeer ernstige kwetsbaarheid is een geval van escalatie van bevoegdheden in Cisco Virtualized Infrastructure Manager (CVE-2022-20732, CVSS-score: 7,8) waarmee een geverifieerde, lokale aanvaller bevoegdheden op apparaten kan escaleren. Het is opgelost in versie 4.2.2 van de software.
“Een succesvolle exploit kan de aanvaller in staat stellen om interne databasereferenties te verkrijgen, die de aanvaller zou kunnen gebruiken om de inhoud van de database te bekijken en te wijzigen. De aanvaller zou deze toegang tot de database kunnen gebruiken om privileges op het getroffen apparaat te verhogen”, aldus het bedrijf. zei.
Ook aangesproken door Cisco zijn: 10 middelzware bugs verspreid over zijn productportfolio, waaronder Webex Meeting, Unified Communications Products, Umbrella Secure Web Gateway en IOS XR-software.
