Risque(s)
- exécution de code arbitraire à distance
Systèmes affectés
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA Services Module pour Cisco Catalyst 6500 Series Switches et Cisco 7600 Series Routers
- Cisco ASA 1000V Cloud Firewall
- Cisco Adaptive Security Virtual Appliance (ASAv)
- Cisco Firepower 9300 ASA Security Module
- Cisco PIX Firewalls
- Cisco Firewall Services Module (FWSM)
- Cisco Firepower 4100 Series
- Cisco Firepower Threat Defense Software
- Cisco Industrial Security Appliance 3000
Résumé
De multiples vulnérabilités ont été découvertes dans les pare-feux Cisco. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.
Description
Le samedi 13 août, des attaquants se faisant appeler les Shadow Brokers ont publiquement révélé des outils offensifs, qu'ils affirment provenir d'Equation, un groupe d'élite lié à la NSA.
Parmi ces outils se trouve du code malveillant dont la fonction est d'exploiter des vulnérabilités dans les pare-feux Cisco afin d'en prendre le contrôle.
Dans ses bulletins de sécurité cisco-sa-20160817-asa-snmp et cisco-sa-20160817-asa-cli (cf. Section Documentation), l'équipementier énumère la liste de produits pour lesquels un correctif est disponible.
Le CERT-FR recommande de durcir ses équipements tout en respectant les bonnes pratiques (cf. Section Documentation).
Des règles de détection réseau sont également disponibles, soit de manière payante (Cisco, cf. Section Documentation), soit à titre gratuit (Emerging Threats, cf. Section Documentation).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation)
Documentation
- Avis CERTFR-2016-AVI-295
http://www.cert.ssi.gouv.fr/site/CERTFR-2016-AVI-295
- Bulletin de sécurité cisco-sa-20160817-asa-snmp Cisco du 17 août 2016
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
- Bulletin de sécurité cisco-sa-20160817-asa-cli Cisco du 17 août 2016
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli
- Blog Cisco : The Shadow Brokers
http://blogs.cisco.com/security/shadow-brokers
- Guide de durcissement des pare-feux Cisco ASA
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/200150-Cisco-Guide-to-Harden-Cisco-ASA-Firewall.html
- Guide de durcissement des équipements Cisco
https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
- Guide de vérification d'intégrité ASA
http://www.cisco.com/c/en/us/about/security-center/intelligence/asa-integrity-assurance.html
- Blog Cisco : Analyse de l'intégrité d'une image IOS
https://blogs.cisco.com/security/offline-analysis-of-ios-image-integrity
- Règle de détection réseau Emerging Threats 1
http://docs.emergingthreats.net/bin/view/Main/2023070
- Règle de détection réseau Emerging Threats 2
http://doc.emergingthreats.net/bin/view/Main/2023071
- Change logs des règles Snort soumises à abonnement
https://www.snort.org/advisories/talos-rules-2016-08-16
- Annonce de fin de vie des Cisco Firewall Services Modules (FWSM)
http://www.cisco.com/c/en/us/products/collateral/interfaces-modules/catalyst-6500-series-firewall-services-module/eol_c51-699134.html
- Annonce de fin de vie des Cisco PIX Firewalls
http://www.cisco.com/c/en/us/products/security/pix-500-series-security-appliances/eos-eol-notice-listing.html
- Référence CVE CVE-2016-6366
https://www.cve.org/CVERecord?id=CVE-2016-6366
- Référence CVE CVE-2016-6367
https://www.cve.org/CVERecord?id=CVE-2016-6367