Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Cisco Adaptive Security Virtual Appliance (ASAv)
- Cisco ASA 1000V Cloud Firewall
- Cisco ASA 5500 Series Adaptive Security Appliances
- Cisco ASA 5500-X Series Next-Generation Firewalls
- Cisco ASA Services Module pour Cisco Catalyst 6500 Series Switches et Cisco 7600 Series Routers
- Cisco Firepower 4100 Series
- Cisco Firepower 9300 ASA Security Module
- Cisco Firepower Threat Defense Software
- Cisco Firewall Services Module (FWSM)
- Cisco Industrial Security Appliance 3000
- Cisco PIX Firewalls
Résumé
De multiples vulnérabilités ont été découvertes dans les pare-feux Cisco. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.
Description
Le samedi 13 août, des attaquants se faisant appeler les Shadow Brokers
ont publiquement révélé des outils offensifs, qu'ils affirment provenir
d'Equation, un groupe d'élite lié à la NSA.
Parmi ces outils se trouve du code malveillant dont la fonction est
d'exploiter des vulnérabilités dans les pare-feux Cisco afin d'en
prendre le contrôle.
Dans ses bulletins de sécurité cisco-sa-20160817-asa-snmp et
cisco-sa-20160817-asa-cli (cf. Section Documentation), l'équipementier
énumère la liste de produits pour lesquels un correctif est
disponible.
Le CERT-FR recommande de durcir ses équipements tout en respectant les
bonnes pratiques (cf. Section Documentation).
Des règles de détection réseau sont également disponibles, soit de
manière payante (Cisco, cf. Section Documentation), soit à titre gratuit
(Emerging Threats, cf. Section Documentation).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation)
Documentation
- Annonce de fin de vie des Cisco Firewall Services Modules (FWSM) http://www.cisco.com/c/en/us/products/collateral/interfaces-modules/catalyst-6500-series-firewall-services-module/eol_c51-699134.html
- Annonce de fin de vie des Cisco PIX Firewalls http://www.cisco.com/c/en/us/products/security/pix-500-series-security-appliances/eos-eol-notice-listing.html
- Avis CERTFR-2016-AVI-295 http://www.cert.ssi.gouv.fr/site/CERTFR-2016-AVI-295
- Blog Cisco : Analyse de l'intégrité d'une image IOS https://blogs.cisco.com/security/offline-analysis-of-ios-image-integrity
- Blog Cisco : The Shadow Brokers http://blogs.cisco.com/security/shadow-brokers
- Bulletin de sécurité cisco-sa-20160817-asa-cli Cisco du 17 août 2016 http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli
- Bulletin de sécurité cisco-sa-20160817-asa-snmp Cisco du 17 août 2016 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
- Change logs des règles Snort soumises à abonnement https://www.snort.org/advisories/talos-rules-2016-08-16
- Guide de durcissement des pare-feux Cisco ASA http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/200150-Cisco-Guide-to-Harden-Cisco-ASA-Firewall.html
- Guide de durcissement des équipements Cisco https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
- Guide de vérification d'intégrité ASA http://www.cisco.com/c/en/us/about/security-center/intelligence/asa-integrity-assurance.html
- Règle de détection réseau Emerging Threats 1 http://docs.emergingthreats.net/bin/view/Main/2023070
- Règle de détection réseau Emerging Threats 2 http://doc.emergingthreats.net/bin/view/Main/2023071
- Référence CVE CVE-2016-6366 https://www.cve.org/CVERecord?id=CVE-2016-6366
- Référence CVE CVE-2016-6367 https://www.cve.org/CVERecord?id=CVE-2016-6367
