S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 01 février 2018
N° CERTFR-2018-ALE-002
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans Cisco Adaptive Security Appliance

Gestion du document

Référence CERTFR-2018-ALE-002
Titre Vulnérabilité dans Cisco Adaptive Security Appliance
Date de la première version01 février 2018
Date de la dernière version06 avril 2018
Source(s) Bulletin de sécurité Cisco cisco-sa-20180129-asa1 du 29 janvier 2018
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • 3000 Series Industrial Security Appliance (ISA)
  • Adaptive Security Virtual Appliance (ASAv)
  • ASA 1000V Cloud Firewall
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module pour les commutateurs Cisco Catalyst série 6500 et les routeurs Cisco série 7600
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 4120 Security Appliance
  • Firepower 4140 Security Appliance
  • Firepower 4150 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)
  • FTD Virtual

Résumé

Un chercheur du NCC Group a trouvé une vulnérabilité dans le logiciel Adaptive Security Appliance (ASA) de Cisco. En envoyant des paquets contenant du XML malformé sur une interface configurée pour accepter des communications webvpn, un attaquant peut provoquer un déni de service ou pire obtenir une exécution de code à distance.

Cette vulnérabilité est jugée critique, avec un score CVSS de 10. Elle impacte de nombreux produits de bordure de réseau, à savoir des routeurs ainsi que des pare-feux et autres produits de sécurité (cf. section Systèmes affectés). Cette vulnérabilité touche également les équipements utilisant le logiciel Firepower Threat Defense (FTD) à partir de sa version 6.0.0.

Le 29 janvier 2018, Cisco a publié un correctif pour cette vulnérabilité (cf. section Documentation).

Le 2 février 2018, le chercheur ayant trouvé cette vulnérabilité présentera ses travaux à l'occasion de la conférence de sécurité REcon à Bruxelles (cf. section Documentation).

Le 5 février 2018, Cisco a mis a jour le bulletin de sécurité relatif à cette vulnérabilité.
Après une analyse approfondie, le constructeur a identifié de nouveaux services vulnérables. La vulnérabilité reposant sur une faiblesse de l'analyseur XML, il est possible de tirer parti de cette faille depuis plusieurs composants faisant appel à cet analyseur. La liste des systèmes et versions impactés à ainsi été mise à jour en conséquence par l'éditeur.
Le CERT-FR recommande de se reporter au bulletin de sécurité de l'éditeur (cf. section Documentation) pour obtenir une liste des composants et des configurations vulnérables.
De plus, le premier correctif mis à disposition par Cisco pour cette vulnérabilité ne corrigeant que partiellement la faille, de nouvelles mises à jour de sécurité sont disponibles pour les systèmes concernés.

Une publication de blogue Cisco complétant les informations disponibles sur cette failles a également été publiée le 5 février 2018 (cf. section Documentation).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Contournement provisoire

En cas d'usage des équipements concernés, le CERT-FR recommande :

  • de désactiver la fonction VPN SSL si elle n'est pas utilisée et de planifier la mise à jour des équipements ;
  • d'appliquer les correctifs immédiatement sur l'ensemble des équipements concernés.

Documentation

Gestion détaillée du document

    le 01 février 2018
    Version initiale
    le 06 février 2018
    Mise à jour du périmètre de la vulnérabilité et des systèmes affectés
    le 06 février 2018
    Mise à jour du périmètre de la vulnérabilité et des systèmes affectés
    le 06 avril 2018
    Clôture de l'alerte