« Cisco et VMware publient des mises à jour de sécurité critiques ».

Reading Time: ( Word Count: )

juin 8, 2023
Nextdoorsec-course

Cisco et VMware publient des mises à jour de sécurité critiques. VMware a récemment publié des correctifs de sécurité pour remédier à trois vulnérabilités dans Aria Operations for Networks, qui pourraient entraîner la divulgation de données et l’exécution de codes à distance.

La vulnérabilité la plus critique parmi les trois est une faille d’injection de commande connue sous le nom de CVE-2023-20887, avec un score CVSS de 9,8. Un acteur malveillant disposant d’un accès au réseau pourrait exécuter du code arbitraire à distance en exploitant cette vulnérabilité.

VMware a également corrigé une autre vulnérabilité de désérialisation, CVE-2023-20888, qui a reçu un score CVSS de 9,1 sur 10 dans le système de notation.

Selon l’avis de VMware, un attaquant disposant d’un accès réseau à VMware Aria Operations for Networks et d’informations d’identification valides pour le rôle de « membre » pourrait effectuer une attaque par désérialisation, entraînant l’exécution de code à distance.

Le troisième problème de sécurité est un bogue de divulgation d’informations de haute sévérité(CVE-2023-20889, CVSS score : 8.8). Il permet à un attaquant disposant d’un accès au réseau d’effectuer une attaque par injection de commande et d’obtenir un accès non autorisé à des données sensibles.

Lire aussi : « Les cybercriminels utilisent des services de cassage de CAPTCHA avec des résolveurs humains pour contourner les mesures de sécurité ».

Ces trois vulnérabilités affectent la version 6.x de VMware Aria Operations Networks. Cependant, la société a résolu les problèmes dans les versions suivantes : 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 et 6.10. Il n’existe pas de solution connue à ces vulnérabilités, ce qui est regrettable.

De même, Cisco a publié des correctifs pour une faille critique dans ses serveurs Expressway Series et TelePresence Video Communication Server (VCS). Cette vulnérabilité (CVE-2023-20105, CVSS score : 9.6) permet à un attaquant authentifié disposant d’informations d’identification de niveau Administrateur en lecture seule d’élever ses privilèges au niveau Administrateur avec des informations d’identification en lecture-écriture.

Un attaquant peut modifier les mots de passe de n’importe quel utilisateur du réseau, même d’un administrateur en lecture-écriture, en utilisant une faiblesse de cascade d’autorité résultant d’un traitement inapproprié des demandes de changement de mot de passe et en prenant ensuite l’identité de cet utilisateur. 

De plus, une autre vulnérabilité de haute gravité (CVE-2023-20192, CVSS score : 8.4) affecte le même produit. Dans ce cas, un attaquant local authentifié peut exécuter des commandes et modifier les paramètres de configuration du système.

Cisco conseille de bloquer l’autorisation de l’interface de ligne de commande (CLI) pour les personnes en lecture seule comme solution provisoire pour CVE-2023-20192. Cisco a résolu les deux problèmes dans les versions 14.2.1 et 14.3.0 de VCS.

Bien qu’il n’y ait aucune preuve que quelqu’un ait exploité ces vulnérabilités, nous recommandons vivement d’appliquer rapidement les correctifs afin de minimiser les risques potentiels.

Ces avis font suite à la découverte de trois failles de sécurité dans RenderDoc (CVE-2023-33863, CVE-2023-33864 et CVE-2023-33865), un débogueur graphique open-source. Ces vulnérabilités pourraient permettre à des attaquants d’obtenir des privilèges élevés et d’exécuter du code arbitraire.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

« Apple neutralise les vulnérabilités exploitées : Une mise à jour complète »

Apple a mis en place des améliorations de sécurité pour neutraliser les vulnérabilités de type "zero-day" ...

« Risques invisibles : Comment la clé volée de Microsoft pourrait débloquer plus de choses que prévu »

Le vol présumé d'une clé de sécurité de Microsoft pourrait avoir permis à des espions liés à Pékin de violer bien ...

Test DNS Secure : Sécurisez votre voyage en ligne

Welcome to the fast-paced digital era, where cybersecurity is not just a buzzword but a critical aspect of our ...
0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *