Cisco выпустила исправления уязвимостей ПО NFVIS для предприятий

В среду Cisco Systems выпустила исправления безопасности для трех уязвимостей в ПО Enterprise NFV Infrastructure Software (NFVIS).

“Уязвимости CVE-2022-20777, CVE-2022-20779 и CVE-2022-20780 позволяли злоумышленнику проникнуть из гостевой VM на хост, внедрить команды, выполняемые на root-уровне или передать системные данные с хоста на VM", – говорится в сообщении компании.

Обнаружили и сообщили об уязвимостях специалисты из Orange Group. Компания по производству сетевого оборудования заявила, что уязвимости затрагивают Cisco Enterprise NFVIS только в исходной конфигурации. Об уязвимостях известно следующее:

• CVE-2022-20777 (оценка CVSS: 9.9) – недостаточные гостевые ограничения позволяли удаленному авторизованному злоумышленнику проникнуть из гостевой VM к root-уровню NFVIS-хоста.
• CVE-2022-20779 (оценка CVSS: 8.8) – неправильная проверка вводимых данных разрешала удаленному неавторизованному злоумышленнику внедрять команды, выполняемые выполняемые на root-уровне NFVIS-хоста в процессе регистрации образа.
• CVE-2022-20780 (оценка CVSS: 7.4) – уязвимость в функции импорта в Cisco Enterprise NFVIS позволяла удаленному неавторизованному злоумышленнику получить доступ к системной информации хоста на любой настроенной VM.

Cisco недавно устранила уязвимость CVE-2022-20759 (оценка CVSS: 8.8) в ПО Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). Уязвимость позволяла авторизованному удаленному злоумышленнику без привилегированного доступа повысить привилегии до 15 уровня.

Кроме того, на прошлой неделе компания выпустила важное уведомление, призывающее пользователей устройств Catalyst 2960X/2960XR обновить программное обеспечение до IOS Release 15.2(7)E4 или более поздней версии. Обновление нужно для включения новых функций безопасности и предотвращения взломов.

Мы писали про исправление трех других уязвимостей в продукции Cisco, способных вызвать состояние отказа в обслуживании и перехватить контроль над уязвимыми системами.