AccueilActualités informatiqueCisco comble les lacunes de l'Appliance Virtuelle Intersight

Cisco comble les lacunes de l’Appliance Virtuelle Intersight

Les administrateurs de matériel Cisco doivent vérifier le logiciel des appareils pour des raisons de sécurité afin de s’assurer qu’il est à jour. Sinon, les attaquants pouvaient exécuter un code malveillant avec les droits root après des attaques réussies dans deux cas. Si cela fonctionne, on considère généralement que les dispositifs sont complètement compromis.

Sommaire

La seule vulnérabilité racine (CVE-2021-34748 « haut« ) affecte le logiciel de gestion d’infrastructure Intersight Virtual Appliance. En raison d’une vérification inadéquate des entrées, des attaquants distants pourraient attaquer l’interface de gestion basée sur le web et utiliser des entrées spéciales pour pousser du code malveillant sur les systèmes et l’exécuter avec des droits root. Seules les versions 1.0.9-150 à 1.0.9-292 seraient menacées par ce problème. Les développeurs affirment que le Version 1.0.9-302 pour être équipé contre de telles attaques.

La deuxième vulnérabilité racine (CVE-2021-34788 « haut« ) affecte le client AnyConnect Secure Mobility pour Linux et macOS. La vérification de la signature étant défectueuse, des attaquants locaux authentifiés pourraient exécuter un code malveillant.

Plus avec le niveau de menace « hautLes vulnérabilités classées « élevées » concernent le logiciel de l’adaptateur téléphonique de la série ATA 190, l’Identity Services Engine, les commutateurs intelligents de la série Small Business 220 et le dispositif de sécurité Web. Les attaquants pouvaient exécuter leurs propres commandes ou déclencher des états de déni de service après des attaques réussies.

Pour les vulnérabilités restantes, le niveau de menace « moyen« . Entre autres, DNA Center Information et Email Security Appliance sont concernés par ce problème. Si les attaques sont réussies, les attaquants pourraient, par exemple, visualiser des informations qui sont en fait scellées. Les administrateurs peuvent trouver plus d’informations sur les vulnérabilités et les correctifs de sécurité dans la liste située sous ce message.

Liste triée par niveau de menace dans l’ordre décroissant :

  • Injection de commandes dans l’appliance virtuelle Intersight
  • Commutateurs intelligents de la série Small Business 220 Protocole de découverte de la couche de liaison
  • Logiciel pour adaptateur téléphonique analogique de la série ATA 190
  • Déni de service du service proxy de Web Security Appliance
  • Escalade de privilèges du moteur de services d’identité
  • Détournement de la bibliothèque partagée du client AnyConnect Secure Mobility pour Linux et Mac OS avec le module VPN Posture (HostScan)
  • Identity Services Engine XML External Entity Injection
  • Vision Dynamic Signage Director Reflected Cross-Site Scripting (script croisé)
  • Contournement du filtrage d’URL de l’appliance Email Security
  • Commutateurs intelligents de la série Business 220 Clé statique et mot de passe
  • Lecture de fichiers arbitraires par le logiciel du téléphone IP
  • Escalade de privilèges de Smart Software Manager
  • Déni de service pour le terminal de collaboration TelePresence et le logiciel RoomOS
  • Orbital Open Redirect
  • Divulgation d’informations sensibles du moteur de services d’identité
  • Divulgation des informations du centre d’ADN

Plus d'articles