Cisco corrige une faille critique d’escalade des privilèges dans la gestion des réunions (CVSS 9.9)

Le fabricant d’équipements réseau a remercié Ben Leonard-Lagarde de Modux pour avoir signalé cette faille de sécurité. Elle affecte les versions suivantes du produit, quelle que soit la configuration de l’appareil :

• Version 3.9 de Cisco Meeting Management (corrigée dans la version 3.9.1)
• Versions 3.8 et antérieures de Cisco Meeting Management (migrer vers une version fixe)
• Version 3.10 de Cisco Meeting Management (non vulnérable)

Cisco a également publié des correctifs pour corriger une faille de déni de service (DoS) affectant BroadWorks et résultant d’une mauvaise gestion de la mémoire pour certaines requêtes SIP (Session Initiation Protocol) (CVE-2025-20165, score CVSS : 7,5). Le problème a été résolu dans la version RI.2024.11.

« Un attaquant pourrait exploiter cette vulnérabilité en envoyant un grand nombre de requêtes SIP à un système affecté », a-t-il déclaré .

« Une exploitation réussie pourrait permettre à l’attaquant d’épuiser la mémoire allouée aux serveurs réseau Cisco BroadWorks qui gèrent le trafic SIP. Si aucune mémoire n’est disponible, les serveurs réseau ne peuvent plus traiter les requêtes entrantes, ce qui entraîne une condition de déni de service qui nécessite une intervention manuelle pour récupérer. »

Une troisième vulnérabilité corrigée par Cisco est CVE-2025-20128 (score CVSS : 5,3), un bug de dépassement de capacité entier affectant la routine de décryptage Object Linking and Embedding 2 (OLE2) de ClamAV qui pourrait également entraîner une condition DoS.

La société, qui a remercié Google OSS-Fuzz pour avoir signalé la faille, a déclaré qu’elle était consciente de l’existence d’un code d’exploitation de preuve de concept (PoC), bien qu’il n’y ait aucune preuve qu’il ait été exploité de manière malveillante dans la nature.

La CISA et le FBI détaillent les chaînes d’exploitation d’Ivanti

La nouvelle des failles de Cisco intervient alors que les agences de cybersécurité et d’application de la loi du gouvernement américain ont publié les détails techniques de deux chaînes d’exploitation utilisées par des équipes de pirates informatiques d’États-nations pour pénétrer dans les applications de services cloud d’Ivanti en septembre 2024.

Les vulnérabilités en question sont les suivantes :

• CVE-2024-8963 , une vulnérabilité de contournement administratif
• CVE-2024-9379 , une vulnérabilité d’injection SQL
• CVE-2024-8190 et CVE-2024-9380 , deux vulnérabilités d’exécution de code à distance

Les séquences d’attaque, selon la Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI), impliquaient l’abus de CVE-2024-8963 en conjonction avec CVE-2024-8190 et CVE-2024-9380 dans un cas, et CVE-2024-8963 et CVE-2024-9379 dans l’autre.

Il convient de noter que la première chaîne d’exploitation a été divulguée par Fortinet FortiGuard Labs en octobre 2024. Dans au moins un cas, les acteurs de la menace auraient effectué un mouvement latéral après avoir pris pied initialement.

La deuxième chaîne d’exploitation s’est avérée exploiter CVE-2024-8963 en combinaison avec CVE-2024-9379 pour obtenir l’accès au réseau cible, suivi de tentatives infructueuses d’implantation de shells Web pour la persistance.

« Les acteurs de la menace ont enchaîné les vulnérabilités répertoriées pour obtenir un accès initial, exécuter du code à distance (RCE), obtenir des identifiants et implanter des shells Web sur les réseaux des victimes », ont déclaré les agences . « Les identifiants et les données sensibles stockés dans les appareils Ivanti concernés doivent être considérés comme compromis.

Source: https://thehackernews.com/