Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Systèmes affectés
- Cisco Adaptive Security Appliance (ASA) versions 9.10.x antérieures à 9.10.1.42
- Cisco Adaptive Security Appliance (ASA) versions 9.12.x antérieures à 9.12.3.12
- Cisco Adaptive Security Appliance (ASA) versions 9.13.x antérieures à 9.13.1.10
- Cisco Adaptive Security Appliance (ASA) versions 9.14.x antérieures à 9.14.1.10
- Cisco Adaptive Security Appliance (ASA) versions 9.7.x et 9.8.x antérieures à 9.8.4.20
- Cisco Adaptive Security Appliance (ASA) versions 9.9.x antérieures à 9.9.2.74
- Cisco Adaptive Security Appliance (ASA) versions antérieures à 9.6.4.42
- Cisco Firepower Threat Defense (FTD) versions 6.2.x antérieures à 6.2.3.16
- Cisco Firepower Threat Defense (FTD) versions 6.3.x antérieures à 6.3.0.5 avec les correctifs de sécurité temporaires qui seront disponibles en août 2020 ou 6.3.0.6 (disponible automne 2020)
- Cisco Firepower Threat Defense (FTD) versions 6.4.x antérieures à 6.4.0.9 avec les correctifs de sécurité temporaires ou 6.4.0.10 (disponible août 2020)
- Cisco Firepower Threat Defense (FTD) versions 6.5.x antérieures à 6.5.0.4 avec les correctifs de sécurité temporaires qui seront disponibles en août 2020 ou 6.5.0.5 (disponible automne 2020)
- Cisco Firepower Threat Defense (FTD) versions antérieures à 6.6.0.1
Résumé
Le 22 juillet 2020, Cisco a publié des correctifs pour la vulnérabilité CVE-2020-3452.
Cette vulnérabilité affecte les équipements Adaptive Security Appliance (ASA) Software et Firepower Threat Defense (FTD) lorsque les fonctionnalités WebVPN ou AnyConnect sont activées.
Cette vulnérabilité permet à un attaquant de récupérer le contenu de n'importe quel fichier appartenant au système de fichiers des services web. Ce système de fichiers, monté en mémoire, est différent de celui du système d'exploitation de l'équipement. Il contient néanmoins potentiellement des informations sensibles sur la machine et sur le réseau que celle-ci est censée protéger.
Le jour où Cisco a publié ses mises à jour, un chercheur a publié des preuves de concept permettant d'exploiter cette vulnérabilité.
Le CERT-FR a connaissance de campagnes tentant d'exploiter cette vulnérabilité.
Solution
Un correctif n'est pas encore disponible pour toutes les versions.
Le CERT-FR recommande de migrer vers une version non vulnérable dans les plus brefs délais.
Dans tous les cas, le CERT-FR recommande de vérifier les journaux à la recherche de requêtes suspectes. Si celles-ci sont détectées, il faut en tirer les conséquences et modifier tous les secrets qui auront pu être compromis.
Documentation
- Avis CERTFR CERTFR-2020-AVI-461 du 23 juillet 2020 https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-461/
- Bulletin de sécurité Cisco cisco-sa-asaftd-ro-path-KJuQhB86 du 22 juillet 2020 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86
- Référence CVE CVE-2020-3452 https://www.cve.org/CVERecord?id=CVE-2020-3452