“Cisco et VMware publient des mises à jour de sécurité critiques”.

Reading Time: ( Word Count: )

June 8, 2023
Nextdoorsec-course

Cisco et VMware publient des mises à jour de sécurité critiques. VMware a récemment publié des correctifs de sécurité pour remédier à trois vulnérabilités dans Aria Operations for Networks, qui pourraient entraîner la divulgation de données et l’exécution de codes à distance.

La vulnérabilité la plus critique parmi les trois est une faille d’injection de commande connue sous le nom de CVE-2023-20887, avec un score CVSS de 9,8. Un acteur malveillant disposant d’un accès au réseau pourrait exécuter du code arbitraire à distance en exploitant cette vulnérabilité.

VMware a également corrigé une autre vulnérabilité de désérialisation, CVE-2023-20888, qui a reçu un score CVSS de 9,1 sur 10 dans le système de notation.

Selon l’avis de VMware, un attaquant disposant d’un accès réseau à VMware Aria Operations for Networks et d’informations d’identification valides pour le rôle de “membre” pourrait effectuer une attaque par désérialisation, entraînant l’exécution de code à distance.

Le troisième problème de sécurité est un bogue de divulgation d’informations de haute sévérité(CVE-2023-20889, CVSS score : 8.8). Il permet à un attaquant disposant d’un accès au réseau d’effectuer une attaque par injection de commande et d’obtenir un accès non autorisé à des données sensibles.

Lire aussi : “Les cybercriminels utilisent des services de cassage de CAPTCHA avec des résolveurs humains pour contourner les mesures de sécurité”.

Ces trois vulnérabilités affectent la version 6.x de VMware Aria Operations Networks. Cependant, la société a résolu les problèmes dans les versions suivantes : 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 et 6.10. Il n’existe pas de solution connue à ces vulnérabilités, ce qui est regrettable.

De même, Cisco a publié des correctifs pour une faille critique dans ses serveurs Expressway Series et TelePresence Video Communication Server (VCS). Cette vulnérabilité (CVE-2023-20105, CVSS score : 9.6) permet à un attaquant authentifié disposant d’informations d’identification de niveau Administrateur en lecture seule d’élever ses privilèges au niveau Administrateur avec des informations d’identification en lecture-écriture.

Un attaquant peut modifier les mots de passe de n’importe quel utilisateur du réseau, même d’un administrateur en lecture-écriture, en utilisant une faiblesse de cascade d’autorité résultant d’un traitement inapproprié des demandes de changement de mot de passe et en prenant ensuite l’identité de cet utilisateur. 

De plus, une autre vulnérabilité de haute gravité (CVE-2023-20192, CVSS score : 8.4) affecte le même produit. Dans ce cas, un attaquant local authentifié peut exécuter des commandes et modifier les paramètres de configuration du système.

Cisco conseille de bloquer l’autorisation de l’interface de ligne de commande (CLI) pour les personnes en lecture seule comme solution provisoire pour CVE-2023-20192. Cisco a résolu les deux problèmes dans les versions 14.2.1 et 14.3.0 de VCS.

Bien qu’il n’y ait aucune preuve que quelqu’un ait exploité ces vulnérabilités, nous recommandons vivement d’appliquer rapidement les correctifs afin de minimiser les risques potentiels.

Ces avis font suite à la découverte de trois failles de sécurité dans RenderDoc (CVE-2023-33863, CVE-2023-33864 et CVE-2023-33865), un débogueur graphique open-source. Ces vulnérabilités pourraient permettre à des attaquants d’obtenir des privilèges élevés et d’exécuter du code arbitraire.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Top Security Practices to Protect Your Data in Cloud Services

Top Security Practices to Protect Your Data in Cloud Services

Cloud services make storing and accessing your data simple and flexible, but they also bring new security ...
Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Boosting Efficiency With Law Firm IT Solutions: A Guide for Small Practices

Small law firms often juggle multiple responsibilities with limited resources, making efficiency a top priority. ...
Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *