Af Eskil Sørensen, 07/10/22
Cisco har rettet rettet potentielt alvorlige sårbarheder i nogle af sine netværks- og kommunikationsprodukter, herunder Enterprise NFV, Expressway og TelePresence.
Det skriver Security Week og Security Affairs på baggrund af udsendte advisories.
Der er tale om to alvorlige sårbarheder. Den ene har id’et CVE-2022-20814 og er relateret til ukorrekt certifikatvalidering. Denne gør ved udnyttelse det muligt for en ekstern, uautoriseret angriber at få adgang til følsomme data via et man-in-the-middle-angreb. Scoren på CVSS-skalaen er 7,4. Den anden sårbarhed med id’et CVE-2022-20853 tillader angreb på tværs af websteder, såkaldt cross-site request forgery (CSRF). Det muliggør DDoS-angreb, hvis en bruger lokkes til at klikke på et specielt udformet link.
I forhold til Enterprise NFV Infrastructure Software (NFVIS) har Cisco rettet et alvorligt problem, som er relateret til signaturen på opgraderingsfiler, der ikke kontrolleres korrekt. Denne sårbarhed har id’et CVE-2022-20929 og en score på 7,8.
Virksomheden har ifølge Security Week også udgivet advisories vedr. sårbarheder, der i CVSS-kontekst er vurderet til at være mindre alvorlige, Smart Software Manager On-Prem, Jabber, BroadWorks, ATA, Touch 10, Secure Web Appliance og flere adgangspunkter.
Cisco oplyser i forbindelse med publicering af sårbarhederne, at man ikke er opmærksom på nogen aktuelle ondsindede angreb ved udnyttelse af de nye sårbarheder.
Links:
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/06/cisco-releases-security-updates-multiple-products
https://securityaffairs.co/wordpress/136743/security/cisco-communications-networking-products.html
https://www.securityweek.com/cisco-patches-high-severity-vulnerabilities-communications-networking-products