Multiples vulnérabilités découvertes dans les produits Cisco

Date de publication :

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et une élévation de privilèges.

CVE-2019-12699[Score CVSSv3 : 7.8] : De multiples vulnérabilités ont été découvertes dans le client des logiciels Cisco FXOS et Cisco Firepower Threat Defense (FTD). Elles pourraient permettre à un attaquant local authentifié d'exécuter des commandes sur le système d'exploitation (OS) sous-jacent avec les privilèges root. Ces vulnérabilités sont dues à une validation insuffisante des entrées. Un attaquant pourrait exploiter ces vulnérabilités en incluant des arguments conçus pour des commandes du client.

CVE-2019-12679 [Score CVSSv3 : 8.8] : De multiples vulnérabilités dans l'interface de gestion Web du logiciel Firepower Management Center (FMC) de Cisco pourraient permettre à un attaquant authentifié et distant d'exécuter des injections SQL sur le périphérique. Ces vulnérabilités sont dues à une mauvaise validation des entrées utilisateurs. Un attaquant exploitant cette vulnérabilité pourrait compromettre la confidentialité des données de la base de données et exécuter des commandes sur le système d’exploitation sous-jacent.

CVE-2019-12689[Score CVSSv3 : 8.8] : Une vulnérabilité dans l'interface de gestion Web du logiciel Firepower Management Center (FMC) de Cisco pourrait permettre à un attaquant distant authentifié d'exécuter du code arbitraire sur le système d'exploitation sous-jacent d'un périphérique affecté. La vulnérabilité est due à une validation insuffisante des entrées. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des commandes malveillantes à l'interface de gestion Web d'un périphérique affecté. Un exploit réussi pourrait permettre à l'attaquant d'exécuter du code arbitraire sur le système d'exploitation sous-jacent du périphérique affecté.

CVE-2019-12678[Score CVSSv3 : 7.5] : Une vulnérabilité dans le module d'inspection SIP (Session Initiation Protocol) du logiciel Cisco Adaptive Security Appliance (ASA) et du logiciel Cisco Firepower Threat Defense (FTD) pourrait permettre à un attaquant distant non authentifié de provoquer un déni de service (DoS) sur un périphérique affecté. La vulnérabilité est due à une mauvaise analyse des messages SIP. Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet SIP malveillant via un périphérique affecté. Un exploit réussi pourrait permettre à l'attaquant de provoquer la lecture par le logiciel de la mémoire non mappée et provoquerait un crash.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire à distance
  • Déni de service
  • Élévation de privilèges
  • Injection de requêtes illégitimes par rebond (CSRF)

Criticité

  • Score CVSS : 8.8 pour la plus élevée

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Cisco ASA Software versions 9.6.x versions antérieures à 9.6.4.34
  • Cisco ASA Software versions 9.7.x et 9.8.x versions antérieures à 9.8.4.10
  • Cisco ASA Software versions 9.9.x et 9.10.x versions antérieures à 9.10.1.30
  • Cisco ASA Software versions 9.12.x versions antérieures à 9.12.2.5
  • Cisco FTD et FMC Software versions antérieures à 6.4.0.4
  • Cisco FXOS Software versions antérieures a 2.3.1.155
  • Cisco FXOS Software versions 2.4.x et 2.6.x versions antérieures a 2.6.1.131
  • Cisco Unity Connection, Unified Communications Manager versions 10.x versions antérieures à 10.5(2)SU9
  • Cisco Unified Communications Manager IM&P Service et SME et versions 10.x versions antérieures à 10.5(2)ES
  • Cisco Unity Connection, Unified Communications Manager, IM&P Service et SME versions 11.x versions antérieures à 11.5(1)SU6
  • Cisco Unity Connection, Unified Communications Manager et SME versions 12.0 versions antérieures à 12.0(1)SU3
  • Cisco Unified Communications Manager IM&P Service versions 12.0 versions antérieures à 12.5(1)SU1
  • Cisco Unity Connection, Unified Communications Manager, IM&P Service et SME versions 12.5 versions antérieures à 12.5(1)SU1

CVE

  • CVE-2019-12699
  • CVE-2019-12700
  • CVE-2019-12674
  • CVE-2019-12675
  • CVE-2019-12679
  • CVE-2019-12680
  • CVE-2019-12681
  • CVE-2019-12682
  • CVE-2019-12683
  • CVE-2019-12684
  • CVE-2019-12685
  • CVE-2019-12686
  • CVE-2019-12689
  • CVE-2019-12687
  • CVE-2019-12688
  • CVE-2019-12690
  • CVE-2019-1915
  • CVE-2019-12677
  • CVE-2019-12676
  • CVE-2019-12678
  • CVE-2019-15256
  • CVE-2019-12673

 

Solutions ou recommandations

Mise en place de correctif de sécurité

  • Une mise à jour des composants est disponible et doit être appliquée.

Solution de contournement

  • Aucune solution de contournement n’a été identifiée en dehors de la mise à jour.

Liens