Risque(s)

  • Contournement de la politique de sécurité
  • Atteinte à la confidentialité des données

Systèmes affectés

  • Cisco Adaptive Security Appliance (ASA) versions antérieures à 9.6.4.42
  • Cisco Adaptive Security Appliance (ASA) versions 9.7.x et 9.8.x antérieures à 9.8.4.20
  • Cisco Adaptive Security Appliance (ASA) versions 9.9.x antérieures à 9.9.2.74
  • Cisco Adaptive Security Appliance (ASA) versions 9.10.x antérieures à 9.10.1.42
  • Cisco Adaptive Security Appliance (ASA) versions 9.12.x antérieures à 9.12.3.12
  • Cisco Adaptive Security Appliance (ASA) versions 9.13.x antérieures à 9.13.1.10
  • Cisco Adaptive Security Appliance (ASA) versions 9.14.x antérieures à 9.14.1.10
  • Cisco Firepower Threat Defense (FTD) versions antérieures à 6.6.0.1
  • Cisco Firepower Threat Defense (FTD) versions 6.2.x antérieures à 6.2.3.16
  • Cisco Firepower Threat Defense (FTD) versions 6.3.x antérieures à 6.3.0.5 avec les correctifs de sécurité temporaires qui seront disponibles en août 2020 ou 6.3.0.6 (disponible automne 2020)
  • Cisco Firepower Threat Defense (FTD) versions 6.4.x antérieures à 6.4.0.9 avec les correctifs de sécurité temporaires ou 6.4.0.10 (disponible août 2020)
  • Cisco Firepower Threat Defense (FTD) versions 6.5.x antérieures à 6.5.0.4 avec les correctifs de sécurité temporaires qui seront disponibles en août 2020 ou 6.5.0.5 (disponible automne 2020)

Résumé

Le 22 juillet 2020, Cisco a publié des correctifs pour la vulnérabilité CVE-2020-3452.

Cette vulnérabilité affecte les équipements Adaptive Security Appliance (ASA) Software et Firepower Threat Defense (FTD) lorsque les fonctionnalités WebVPN ou AnyConnect sont activées.

Cette vulnérabilité permet à un attaquant de récupérer le contenu de n'importe quel fichier appartenant au système de fichiers des services web. Ce système de fichiers, monté en mémoire, est différent de celui du système d'exploitation de l'équipement. Il contient néanmoins potentiellement des informations sensibles sur la machine et sur le réseau que celle-ci est censée protéger.

Le jour où Cisco a publié ses mises à jour, un chercheur a publié des preuves de concept permettant d'exploiter cette vulnérabilité.

Le CERT-FR a connaissance de campagnes tentant d'exploiter cette vulnérabilité.

 

Solution

Un correctif n'est pas encore disponible pour toutes les versions.

Le CERT-FR recommande de migrer vers une version non vulnérable dans les plus brefs délais.

Dans tous les cas, le CERT-FR recommande de vérifier les journaux à la recherche de requêtes suspectes. Si celles-ci sont détectées, il faut en tirer les conséquences et modifier tous les secrets qui auront pu être compromis.

Documentation