Cisco выпустила исправления уязвимостей ПО NFVIS для предприятий

В среду Cisco Systems выпустила исправления безопасности для трех уязвимостей в ПО Enterprise NFV Infrastructure Software (NFVIS).

“Уязвимости CVE-2022-20777, CVE-2022-20779 и CVE-2022-20780 позволяли злоумышленнику проникнуть из гостевой VM на хост, внедрить команды, выполняемые на root-уровне или передать системные данные с хоста на VM", – говорится в сообщении компании.

Обнаружили и сообщили об уязвимостях специалисты из Orange Group. Компания по производству сетевого оборудования заявила, что уязвимости затрагивают Cisco Enterprise NFVIS только в исходной конфигурации. Об уязвимостях известно следующее:

• CVE-2022-20777 (оценка CVSS: 9.9) – недостаточные гостевые ограничения позволяли удаленному авторизованному злоумышленнику проникнуть из гостевой VM к root-уровню NFVIS-хоста.
• CVE-2022-20779 (оценка CVSS: 8.8) – неправильная проверка вводимых данных разрешала удаленному неавторизованному злоумышленнику внедрять команды, выполняемые выполняемые на root-уровне NFVIS-хоста в процессе регистрации образа.
• CVE-2022-20780 (оценка CVSS: 7.4) – уязвимость в функции импорта в Cisco Enterprise NFVIS позволяла удаленному неавторизованному злоумышленнику получить доступ к системной информации хоста на любой настроенной VM.

Cisco недавно устранила уязвимость CVE-2022-20759 (оценка CVSS: 8.8) в ПО Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). Уязвимость позволяла авторизованному удаленному злоумышленнику без привилегированного доступа повысить привилегии до 15 уровня.

Кроме того, на прошлой неделе компания выпустила важное уведомление , призывающее пользователей устройств Catalyst 2960X/2960XR обновить программное обеспечение до IOS Release 15.2(7)E4 или более поздней версии. Обновление нужно для включения новых функций безопасности и предотвращения взломов.

Мы писали про исправление трех других уязвимостей в продукции Cisco, способных вызвать состояние отказа в обслуживании и перехватить контроль над уязвимыми системами.