Objet: Bulletin d’actualité CERTFR-2019-ACT-013

Fin de période de validité pour les certificats auto-signés dans les logiciels Cisco IOS et Cisco IOS XE

Contexte

Le 17 décembre 2019, Cisco a émis un avis concernant l’utilisation de certificats x509 par leurs solutions logiciels Cisco IOS et IOS XE.

Jusqu’à présent, les produits Cisco permettent de générer des certificats x509 sans recourir à une infrastructure de gestion de clé (IGC), on parle alors de certificat x509 auto-signé. Cette méthode de génération de certificat n’est pas recommandée puisqu’elle empêche tout contrôle d’authenticité du certificat, cependant elle reste encore utilisée dans différents contextes de production.

Cisco alerte sur le fait que les certificats auto-signés générés par ces solutions sont paramétrés avec une date de fin de validité au 1er janvier 2020 sans qu’il soit possible de la modifier. Il ne sera donc pas possible de renouveler ces certificats auto-signés après le 1er janvier 2020. En effet, une telle tentative résultera en un message d’erreur :

../cert-c/source/certobj.c(535) : E_VALIDITY : validity period start later than end

L’impact est double :

• Interface Web ou API Cisco utilisant TLS : toute tentative de connexion à l’aide d’un navigateur ou d’un logiciel utilisant le protocole HTTPS aboutira à une erreur de connexion. Certains navigateurs proposent de passer outre cette erreur après un avertissement de sécurité, cependant une telle démarche est contraire aux bonnes pratiques puisqu’elle pousse certaines personnes à également ignorer ces messages lorsqu’elles visitent des sites publics, ce qui les rend vulnérables aux maliciels et autres menaces ;
• Protocoles : les protocoles utilisés pour la Voix-sur-IP (VoIP) ou le multimédia configuré pour chiffrer les communications et qui recourent à une authentification par certificat ne seront plus opérationnels.

Système affectés

Se reporter au bulletin de sécurité de Cisco pour obtenir une liste exhaustive des systèmes touchés (cf. section documentation). La notice de l’éditeur comporte en outre une section décrivant les opérations à réaliser afin d’identifier les équipements affectés.

Recommandations

Il est fortement recommandé d’opérer une transition vers une gestion de certificats en faisant appel à une IGC interne ou commerciale, de manière à respecter les bonnes pratiques. Cependant, une telle transition demande du temps de préparation, des solutions temporaires sont donc à envisager.

1. Regénérer des certificats auto-signés sur les équipements ayant été mis à jour (ces versions sont disponibles depuis plus de 3 mois) :
   • Cisco IOS XE versions 16.9.1 et ultérieures ;
   • Cisco IOS versions 15.6(3)M7 et ultérieures, versions 15.7(3)M5 et ultérieures ainsi que versions 15.8(3)M03 et ultérieures.
2. Pour les équipements qui n’auraient pas été mis à jour avant le 1er janvier 2020, utiliser la fonction IOS CA server lorsqu’elle est disponible.
3. Le troisième contournement proposé par Cisco consiste à utiliser OpenSSL pour générer des bi-clés et des certificats, puis à les importer dans les équipements Cisco. Le CERT-FR souhaite cependant rappeler que cette solution doit être envisagée dans des conditions de sécurité garantissant la confidentialité et l’intégrité des clés ainsi générées. Il convient en effet de s’assurer que pour toutes les étapes de la génération, la configuration choisie permet de protéger les composants temporaires mis en œuvre.

Documentation

• Notice Cisco FN70489 du 17 décembre 2019
  https://www.cisco.com/c/en/us/support/docs/field-notices/704/fn70489.html

Rappel des avis émis

Dans la période du 16 au 22 décembre 2019, le CERT-FR a émis les publications suivantes :

• CERTFR-2019-AVI-634 : Multiples vulnérabilités dans F5 BIG-IP
• CERTFR-2019-AVI-635 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2019-AVI-636 : Vulnérabilité dans Juniper EX et QFX
• CERTFR-2019-AVI-637 : Multiples vulnérabilités dans Joomla!
• CERTFR-2019-AVI-638 : Vulnérabilité dans Google Chrome
• CERTFR-2019-AVI-639 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2019-AVI-640 : Vulnérabilité dans Citrix Application Delivery Controller et Gateway
• CERTFR-2019-AVI-641 : Multiples vulnérabilités dans PHP
• CERTFR-2019-AVI-642 : Vulnérabilité dans Microsoft SharePoint
• CERTFR-2019-AVI-643 : Multiples vulnérabilités dans Apache Tomcat
• CERTFR-2019-AVI-644 : Multiples vulnérabilités dans le noyau Linux de Red Hat
• CERTFR-2019-AVI-645 : Multiples vulnérabilités dans Drupal
• CERTFR-2019-AVI-646 : Multiples vulnérabilités dans Google Chrome OS
• CERTFR-2019-AVI-647 : Vulnérabilité dans la version DebianEdu/SkoleLinux de Debian
• CERTFR-2019-AVI-648 : Vulnérabilité dans Palo Alto PAN-OS
• CERTFR-2019-AVI-649 : Multiples vulnérabilités dans Tenable Nessus Network Monitor
• CERTFR-2019-AVI-651 : Vulnérabilité dans VMware Workstation et Horizon View Agent
• CERTFR-2019-AVI-652 : Multiples vulnérabilités dans le noyau Linux de SUSE