Objet: Multiples vulnérabilités dans les produits Cisco

Risque(s)

• Exécution de code arbitraire à distance
• Déni de service à distance
• Contournement de la politique de sécurité
• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Élévation de privilèges

Systèmes affectés

• Cisco Virtualized Infrastructure Manager (VIM) Software versions 4.x.x antérieures à 4.2.2
• Cisco Umbrella Virtual Appliance Software Release versions 3.3.x antérieures à 3.3.2
• Cisco TelePresence CE Software Release versions 9.x antérieures à 9.15.10.8
• Cisco TelePresence CE Software Release versions 10.x antérieures à 10.11.2.2

Un correctif n'est pas prévu pour Cisco VIM versions antérieures à 3.6. L'éditeur préconise de mettre à jour à la version 4.2.2.
Un correctif n'est pas prévu pour Cisco Umbrella Virtual Appliance versions antérieures à 3.2. L'éditeur préconise de mettre à jour à la version 3.3.2.
Un correctif n'est pas prévu pour Cisco TelePresence CE versions antérieures à 9. L'éditeur préconise de mettre à jour vers une version corrigeant la vulnérabilité.

• Cisco CX Cloud Agent Software versions antérieures à 2.1.0 (publication du correctif prévue pour le 20 avril 2022)
• Cisco Automated Subsea Tuning versions antérieures à 2.1.0 (publication du correctif prévue pour le 31 mai 2022)
• Cisco Crosswork Network Controller versions antérieures à 3.0.2 ou 2.0.2 (publication des correctifs prévue pour le 29 avril 2022)
• Cisco Crosswork Optimization Engine versions antérieures à 3.1.1 ou 2.1.1 (publication des correctifs prévue pour le 1er mai 2022)
• Cisco Crosswork Zero Touch Provisioning (ZTP) versions antérieures à 3.0.2 (publication du correctif prévue pour le 29 avril 2022)
• Cisco Crosswork Zero Touch Provisioning (ZTP) versions antérieures à 2.0.2 (publication du correctif prévue pour le 20 avril 2022)
• Cisco Evolved Programmable Network Manager versions antérieures à 6.0.1.1, 5.1.4.1 ou 5.0.2.3 (publication des correctifs prévue pour le 29 avril 2022)
• Cisco Managed Services Accelerator (MSX) versions antérieures à 4.2.3 (publication du correctif prévue pour le 27 avril 2022)
• Cisco Optical Network Planner versions antérieures à 5.0 (publication du correctif prévue pour le 30 août 2022)
• Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.5.2.1 (publication du correctif prévue pour le 19 avril 2022)
• Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.4.0.2 (publication du correctif prévue pour le 25 avril 2022)
• Cisco WAN Automation Engine (WAE) Live versions antérieures à 7.3.0.3 (publication du correctif prévue pour le 29 avril 2022)
• Cisco WAN Automation Engine (WAE) versions antérieures à 7.5.2.1 (publication du correctif prévue pour le 19 avril 2022)
• Cisco WAN Automation Engine (WAE) versions antérieures à 7.4.0.2 (publication du correctif prévue pour le 25 avril 2022)
• Cisco WAN Automation Engine (WAE) versions antérieures à 7.3.0.3 (publication du correctif prévue pour le 29 avril 2022)
• Data Center Network Manager (DCNM) versions antérieures à 12.1.1 (publication du correctif prévue pour le 30 juin 2022)
• Nexus Dashboard Fabric Controller (NDFC) versions antérieures à 12.1.1 (publication du correctif prévue pour le 30 juin 2022)
• Cisco Optical Network Controller versions antérieures à 2.0 (publication du correctif prévue pour le 31 mai 2022)
• Cisco Enterprise Chat and Email versions antérieures à 12.0 ou 12.5 (publication des correctifs prévue pour le 30 mai 2022)
• Cisco Enterprise Chat and Email versions antérieures à 12.6 ES2 (publication des correctifs prévue pour le 15 mai 2022)
• Cisco Meeting Server versions antérieures à 3.5.0 (publication des correctifs prévue pour le 30 avril 2022)
• Cisco Meeting Server versions antérieures à 3.4.2 (publication des correctifs prévue pour le 31 mai 2022)
• Cisco Meeting Server versions antérieures à 3.3.3 (publication des correctifs prévue pour le 17 juin 2022)
• Cisco DNA Center toutes versions (pas d'annonce sur la disponibilité du correctif)
• Cisco Software-Defined AVC (SD-AVC) toutes versions (pas d'annonce sur la disponibilité du correctif)

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Cisco sa-ce-roomos-dos-c65x2Qf2 du 20 avril 2022
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ce-roomos-dos-c65x2Qf2
• Bulletin de sécurité Cisco sa-uva-static-key-6RQTRs4c du 20 avril 2022
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uva-static-key-6RQTRs4c
• Bulletin de sécurité Cisco sa-vim-privesc-T2tsFUf du 20 avril 2022
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vim-privesc-T2tsFUf
• Bulletin de sécurité Cisco sa-java-spring-rce-Zx9GUc67 du 01 avril 2022
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-java-spring-rce-Zx9GUc67
• Référence CVE CVE-2022-20783
  https://www.cve.org/CVERecord?id=CVE-2022-20783
• Référence CVE CVE-2022-20773
  https://www.cve.org/CVERecord?id=CVE-2022-20773
• Référence CVE CVE-2022-20732
  https://www.cve.org/CVERecord?id=CVE-2022-20732
• Référence CVE CVE-2022-22965
  https://www.cve.org/CVERecord?id=CVE-2022-22965