Risque(s)
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- vBond Orchestrator avec le logiciel Cisco SD-WAN versions antérieures à 19.2.2
- Routeurs vEdge 100 avec le logiciel Cisco SD-WAN versions antérieures à 19.2.2
- Routeurs vEdge 1000 avec le logiciel Cisco SD-WAN versions antérieures à 19.2.2
- Routeurs vEdge 2000 avec le logiciel Cisco SD-WAN versions antérieures à 19.2.2
- Routeurs vEdge 5000 avec le logiciel Cisco SD-WAN versions antérieures à 19.2.2
- Routeurs vEdge Cloud avec le logiciel Cisco SD-WAN versions antérieures à 19.2.2
- vManage Network Management System avec le logiciel Cisco SD-WAN versions antérieures à 19.2.2
- Smart Controller avec le logiciel Cisco SD-WAN versions antérieures à 19.2.2
Résumé
De multiples vulnérabilités ont été découvertes dans les produits SD-WAN de Cisco. Elles permettent à un attaquant de provoquer une atteinte à l'intégrité des données, une atteinte à la confidentialité des données et une élévation de privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-sdwpresc-ySJGvE9 du 18 mars 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwpresc-ySJGvE9 - Bulletin de sécurité Cisco cisco-sa-sdwclici-cvrQpH9v du 18 mars 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwclici-cvrQpH9v - Bulletin de sécurité Cisco cisco-sa-sdwanbo-QKcABnS2 du 18 mars 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwanbo-QKcABnS2 - Référence CVE CVE-2020-3265
https://www.cve.org/CVERecord?id=CVE-2020-3265 - Référence CVE CVE-2020-3266
https://www.cve.org/CVERecord?id=CVE-2020-3266 - Référence CVE CVE-2020-3264
https://www.cve.org/CVERecord?id=CVE-2020-3264