Cisco a publié mercredi des correctifs pour combler de multiples failles dans son logiciel qui pourraient être utilisées pour divulguer des informations sensibles sur des appareils sensibles.
Le problème, qui porte l’identifiant CVE-2022-20866, a été décrit comme une « erreur de logique » lors du traitement des clés RSA sur les appareils utilisant les logiciels Cisco Adaptive Security Appliance Software et Cisco Firepower Threat Defense Software.
« Si un pirate obtient la clé privée RSA, il peut l’utiliser pour usurper l’identité d’un appareil qui exécute le logiciel Cisco ASA ou le logiciel Cisco FTD ou pour décrypter le trafic de l’appareil », a averti Cisco dans un avis publié le 10 août.
Cisco a indiqué que la faille n’affecte que les versions 9.16.1 et ultérieures du logiciel Cisco ASA et les versions 7.0.0 et ultérieures du logiciel Cisco FTD.
La société a déclaré que la faiblesse, CVE-2022-20713, a un impact sur les appareils Cisco utilisant une version du logiciel Cisco ASA antérieure à la version 9.17(1) et dont la fonction Clientless SSL VPN est activée.
Ce développement intervient alors que la société de cybersécurité Rapid7 a révélé les détails de 10 bogues découverts dans ASA, Adaptive Security Device Manager et FirePOWER Services Software for ASA, dont sept ont depuis été corrigés par Cisco.