Vulnérabilités critiques dans Cisco Enterprise NFV

Date de publication :

CVE-2022-20777[Score CVSS v3.1 : 9.9] (critique)
Une faille critique dans Cisco Enterprise NFV provoque des restrictions de sessions « invités » inappropriées dans la fonctionnalité d'entrée/sortie de nouvelle génération (NGIO). En envoyant un appel d'API spécialement forgé à partir d'une machine virtuelle qui s'exécutera avec des privilèges de niveau racine sur l'hôte NFVIS, un attaquant peut contourner la politique de sécurité et compromettre totalement l'hôte NFVIS avec les privilèges les plus élevés.

CVE-2022-20779[Score CVSS v3.1 : 8.8]
Cisco Enterprise NFV présente un défaut de validation des entrées dans son processus d'enregistrement d’images disque. En persuadant sa victime d'installer une image de logiciel dotée de métadonnées spécialement forgées, un attaquant distant peut exécuter des commandes arbitraires avec les privilèges les plus élevés.

CVE-2022-20780[Score CVSS v3.1 : 7.4]
Cisco Enterprise NFV présente un défaut de gestion des déclarations d'entité externe XML. En persuadant sa victime d'importer un fichier XML spécialement forgé, un attaquant distant peut accéder aux informations système de l'hôte.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Elévation de privilèges
  • Exécution de code arbitraire (à distance)
  • Contournement de la politique de sécurité
  • Atteinte à la confidentialité des données

Criticité

  • Score CVSS v3.1: 9.9 max  

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées.

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

CWE-284: Improper Access Control

CWE-611: Improper Restriction of XML External Entity Reference

Détails sur l’exploitation

Pour la CVE-2022-20777

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-20779

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Pour la CVE-2022-20780

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

Pour l’ensemble des CVE présentées :

  • Cisco Enterprise NFV Infrastructure Software (NFVIS) aux versions 4.0 et antérieures est affecté par cette vulnérabilité.

Solutions ou recommandations

Pour l’ensemble des CVE présentées :

  • Mettre à jour Cisco Enterprise NFV Infrastructure Software (NFVIS) à la version 4.7.1.
  • Des informations complémentaires sur la mise à jour sont disponibles ici.

Liens