Cisco identifie des vulnérabilités dans son « Identity Services Engine »

La solution de contrôle d’accès au réseau de Cisco Systems comporte cinq vulnérabilités classées Élevées qui pourraient permettre à un attaquant distant authentifié d’injecter des commandes arbitraires du système d’exploitation, de contourner les protections de sécurité et de mener des attaques de script intersite.

Quatre des cinq problèmes du Cisco Identity Services Engine ont été identifiés plus tôt ce mois-ci . Cependant, les administrateurs de réseau et de sécurité devront attendre que Cisco publie des correctifs logiciels pour quatre d’entre eux. Il n’y a pas de solution de contournement disponible pour les vulnérabilités CVE-2022-20964. CVE-2022-20965, CVE-2022-20966 et CVE-2022-20967

Heureusement, ils ne peuvent être exploités que par des utilisateurs ISE valides et autorisés, indique la société. Pour la protection, jusqu’à ce que les correctifs soient publiés, les administrateurs ISE doivent prendre des précautions supplémentaires pour restreindre l’accès à la console et l’accès Web administrateur.

Des mises à jour logicielles ont été publiées pour la cinquième vulnérabilité, CVE-2022-20961, décrite comme une faille dans l’interface de gestion Web d’ISE qui pourrait permettre à un attaquant distant non authentifié de mener une attaque de falsification de requête intersite (CSRF) et d’effectuer des opérations arbitraires.

Selon Cisco, cette vulnérabilité est due à des protections CSRF insuffisantes pour l’interface de gestion Web d’un appareil concerné. Un attaquant pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l’interface de suivre un lien spécialement construit. Un exploit réussi pourrait permettre à l’attaquant d’effectuer des actions arbitraires sur l’appareil affecté avec les privilèges de l’utilisateur cible.

En énumérant quatre vulnérabilités dans un avis, Cisco a noté qu’elles ne dépendent pas les unes des autres pour l’exploitation. De plus, une version logicielle affectée par l’une des vulnérabilités peut ne pas être affectée par les autres vulnérabilités.

Par ailleurs, Cisco a déclaré avoir publié des correctifs de sécurité pour une vulnérabilité dans ISE classée moyenne. CVE-2022-20963 est une vulnérabilité dans l’interface de gestion Web d’ISE qui pourrait permettre à un attaquant distant authentifié de mener une attaque de script intersite (XSS) contre un utilisateur de l’interface sur un appareil affecté.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Les consommateurs et les entreprises n’ont pas les mêmes priorités en matière de confidentialité

Selon des recherches récentes de Cisco Systems, les consommateurs et les chefs d'entreprise ont des priorités différentes en matière de confidentialité des données.

Le télétravail inquiète les responsables de la sécurité, selon une enquête

Selon une nouvelle enquête de Cisco Systems, le nombre croissant d'employés travaillant à distance aujourd'hui est source de cheveux gris pour les responsables de la sécurité de données et les chefs d'entreprise ayant des responsabilités en matière de cybersécurité.

Les administrateurs de systèmes industriels avisés de restreindre l’accès physique à certains automates Siemens

Les sites industriels utilisant des automates programmables (AP) de la série S7-1500 connectés au réseau de Siemens sont avisés d'isoler physiquement les appareils après la découverte de vulnérabilités graves.

Une vulnérabilité de Linux récemment découverte classée 10 en gravité

Les administrateurs Linux sont avisés de traiter cinq nouvelles vulnérabilités, dont l'une est classée 10 sur l’échelle de gravité CVSS (Common Vulnerability Scoring System).

Balado Hashtag Tendances, 22 décembre 2022 — La saga Twitter, Cisco licencie, un concours de piratage et un décapsuleur bluetooth

Cette semaine : Les déboires de Twitter se poursuivent, des licenciements chez Cisco, l’Université Concordia gagne un concours de piratage et un décapsuleur intelligent.