Cisco a récemment publié des mises à jour logicielles visant à résoudre un total de 27 vulnérabilités présentes dans ses produits de sécurité réseau, notamment Adaptive Security Appliance (ASA), Firepower Management Center (FMC) et Firepower Threat Defense (FTD). Dans le cadre de sa publication groupée semestrielle, la société a émis 22 avis de sécurité qui ont traité des vulnérabilités de différentes gravités.

La plus critique de ces vulnérabilités est identifiée sous le numéro CVE-2023-20048, avec un score CVSS de 9,9. Il s'agit d'une faille d'injection de commandes dans FMC, résultant d'une autorisation insuffisante des commandes de configuration envoyées via l'interface du service web du produit concerné. Un attaquant authentifié pourrait exploiter cette vulnérabilité en utilisant des requêtes HTTP spécialement conçues pour exécuter des commandes de configuration sur un appareil FTD ciblé.

Cisco a également publié sept avis décrivant huit vulnérabilités de grande gravité présentes dans les logiciels ASA, FMC et FTD. Cinq d'entre elles pourraient entraîner des conditions de déni de service (DoS), tandis que les trois autres permettent l'injection de commandes. Ces vulnérabilités affectent divers aspects des produits, y compris le traitement de l'ICMPv6, l'accès distant via VPN, le traitement interne des paquets, et plus encore.

Outre les vulnérabilités de grande gravité, Cisco a traité 18 vulnérabilités de gravité moyenne dans les produits ASA, FMC et FTD. Ces vulnérabilités pourraient entraîner divers problèmes, notamment des conditions de DoS, des téléchargements de fichiers arbitraires, des usurpations d'assertions SAML, des attaques de type cross-site scripting (XSS), et diverses vulnérabilités de contournement, telles que le contournement de politiques, de moteur de détection, d'authentification par certificat, de filtrage de géolocalisation, etc.

Une vulnérabilité de gravité moyenne notable est la CVE-2022-20713, une vulnérabilité de contrebande de requêtes côté client non authentifié et à distance dans le composant des services client web VPN des logiciels ASA et FTD. Bien que cette vulnérabilité ait été signalée en août 2022, Cisco a mis plus d'un an pour fournir des correctifs. Toutefois, l'entreprise indique qu'elle n'a pas connaissance d'attaques en cours visant ces vulnérabilités traitées dans les dernières mises à jour des logiciels ASA, FMC et FTD.

Pour plus de détails et d'informations spécifiques concernant chaque vulnérabilité, vous pouvez consulter la page des avis de sécurité de Cisco.