Cisco is te weten gekomen dat enkele van zijn producten niet geheel veilig zijn. Het bedrijf attendeert gebruikers op vier fouten met een hoog risico.
De e-maildienst en webbeveiligingsproducten van Cisco bevatten vier gevaarlijke kwetsbaarheden. Zowel virtuele- als hardware-apparaten zijn hierdoor onveilig.
Patchen
Er is online al een patch te vinden voor de fout CVE-2022-20664, waarmee de diensten voor je eigen bedrijf weer veilig te maken zijn. Het is aangeraden dat snel te doen want de kwetsbaarheid kreeg een risicoscore van 7,7 op 10 van CVSS.
Productversies die al wat langer meegaan, kunnen de patch niet installeren. Cisco hoopt deze klanten zo richten een nieuwere versie van het apparaat te duwen.
Het securityteam van het bedrijf heeft op het moment van schrijven nog geen uitbuiting in het wild gespot. Uitbuiting is enkel mogelijk door personen die toegang hebben tot de apparaten. Vanaf een toegang op operator-niveau is het mogelijk om gevoelige informatie te stelen.
Hoger toegangsniveau nodig
Een andere fout, CVE-2022-20829, heeft volgens het bedrijf een gemiddeld dreigingsniveau. Dit etiket wordt geplakt doordat uitbuiting van de kwetsbaarheid toegang op administratorniveau vereist. Toch geeft CVSS de fout een risicoscore van 9,1 op 10.
De fout is uit te buiten door een image met kwaadaardige code te uploaden in een toestel waarop de Adaptive Security Appliance (ASA) van Cisco geïnstalleerd staat. Eens een gebruiker toegang tot dit toestel probeert te krijgen via de Adaptive Security Device Manager (ASDM) van Cisco, kan de gevaarlijk code uitgevoerd worden.
De kwetsbaarheid wegwerken is mogelijk door beide toestellen te updaten. Voor de ASA-versie 9.18 is dat alleen pas een optie vanaf augustus.
Andere kwetsbaarheden
De twee overige fouten hebben beide een lagere risicoscore gekregen. In de CLI parser van de Firepower Software for ASA Firepower-module komt de score neer op een 6,5 op 10. De laatste fout krijgt nog een 5,4 op 10 en bevindt zich in de webinterface van Cisco Enterprise Chat en Email.
De eerste fout zal een eerste software-update ontvangen in juli en een tweede aan het einde van het jaar. Alle versies tot en met 6.2.2 en versie 6.3.0 en 6.5.0 ontvangen deze updates echter niet. Voor de tweede fout wordt nog aan een oplossing gewerkt.