Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • 3000 Series Industrial Security Appliance (ISA)
  • Adaptive Security Virtual Appliance (ASAv)
  • ASA 1000V Cloud Firewall
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module pour les commutateurs Cisco Catalyst série 6500 et les routeurs Cisco série 7600
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 4120 Security Appliance
  • Firepower 4140 Security Appliance
  • Firepower 4150 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)
  • FTD Virtual

Résumé

Un chercheur du NCC Group a trouvé une vulnérabilité dans le logiciel Adaptive Security Appliance (ASA) de Cisco. En envoyant des paquets contenant du XML malformé sur une interface configurée pour accepter des communications webvpn, un attaquant peut provoquer un déni de service ou pire obtenir une exécution de code à distance.

Cette vulnérabilité est jugée critique, avec un score CVSS de 10. Elle impacte de nombreux produits de bordure de réseau, à savoir des routeurs ainsi que des pare-feux et autres produits de sécurité (cf. section Systèmes affectés). Cette vulnérabilité touche également les équipements utilisant le logiciel Firepower Threat Defense (FTD) à partir de sa version 6.0.0.

Le 29 janvier 2018, Cisco a publié un correctif pour cette vulnérabilité (cf. section Documentation).

Le 2 février 2018, le chercheur ayant trouvé cette vulnérabilité présentera ses travaux à l'occasion de la conférence de sécurité REcon à Bruxelles (cf. section Documentation).

Le 5 février 2018, Cisco a mis a jour le bulletin de sécurité relatif à cette vulnérabilité.
Après une analyse approfondie, le constructeur a identifié de nouveaux services vulnérables. La vulnérabilité reposant sur une faiblesse de l'analyseur XML, il est possible de tirer parti de cette faille depuis plusieurs composants faisant appel à cet analyseur. La liste des systèmes et versions impactés à ainsi été mise à jour en conséquence par l'éditeur.
Le CERT-FR recommande de se reporter au bulletin de sécurité de l'éditeur (cf. section Documentation) pour obtenir une liste des composants et des configurations vulnérables.
De plus, le premier correctif mis à disposition par Cisco pour cette vulnérabilité ne corrigeant que partiellement la faille, de nouvelles mises à jour de sécurité sont disponibles pour les systèmes concernés.

Une publication de blogue Cisco complétant les informations disponibles sur cette failles a également été publiée le 5 février 2018 (cf. section Documentation).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Contournement provisoire

En cas d'usage des équipements concernés, le CERT-FR recommande :

  • de désactiver la fonction VPN SSL si elle n'est pas utilisée et de planifier la mise à jour des équipements ;
  • d'appliquer les correctifs immédiatement sur l'ensemble des équipements concernés.

Documentation