{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Cisco Adaptive Security Appliance (ASA) sans les derniers correctifs de s\u00e9curit\u00e9, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour les versions vuln\u00e9rables (cf. section Documentation)","product":{"name":"N/A","vendor":{"name":"Cisco","scada":false}}},{"description":"Cisco Firepower Threat Defense (FTD) sans les derniers correctifs de s\u00e9curit\u00e9, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour les versions vuln\u00e9rables (cf. section Documentation)","product":{"name":"N/A","vendor":{"name":"Cisco","scada":false}}}],"affected_systems_content":"","closed_at":"2024-07-01","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2024-20353","url":"https://www.cve.org/CVERecord?id=CVE-2024-20353"},{"name":"CVE-2024-20359","url":"https://www.cve.org/CVERecord?id=CVE-2024-20359"}],"links":[{"title":"Communication Cisco","url":"https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response"},{"title":"[2] Proc\u00e9dure d'investigation de Cisco sur les \u00e9quipements ASA","url":"https://sec.cloudapps.cisco.com/security/center/resources/forensic_guides/asa_forensic_investigation.html"},{"title":"[1] Billet de blogue Cisco Talos du 24 avril 2024","url":"https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/"},{"title":"Avis CERTFR-2024-AVI-0307 du 15 avril 2024","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0347/"}],"reference":"CERTFR-2024-ALE-007","revisions":[{"description":"Version initiale","revision_date":"2024-04-25T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2024-07-01T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire"},{"description":"D\u00e9ni de service \u00e0 distance"}],"summary":"Le 24 avril 2024, Cisco a publi\u00e9 trois avis de s\u00e9curit\u00e9 concernant des\nvuln\u00e9rabilit\u00e9s affectant les \u00e9quipements de s\u00e9curit\u00e9 ASA et FTD.\n\nDeux d'entre eux concernent les vuln\u00e9rabilit\u00e9s CVE-2024-20353 et\nCVE-2024-20359 qui sont activement exploit\u00e9es dans le cadre d'attaques\ncibl\u00e9es.\n\nLa vuln\u00e9rabilit\u00e9 CVE-2024-20359 permet \u00e0 un utilisateur authentifi\u00e9 avec\ndes droits administrateur d'ex\u00e9cuter du code arbitraire avec les\nprivil\u00e8ges *root*.\n\nEn effet, si l'attaquant parvient \u00e0 \u00e9crire un fichier malveillant sur le\nsyst\u00e8me de fichier du *disk0:*, cela lui permet d'ex\u00e9cuter son code au\nprochain red\u00e9marrage de l'\u00e9quipement. Cisco indique que l'attaquant peut\nexploiter la vuln\u00e9rabilit\u00e9 CVE-2024-20353 pour d\u00e9clencher son\nred\u00e9marrage.\n\nDans son billet de blogue \\[1\\], Cisco Talos d\u00e9taille l'historique des\nexploitations et indique que les premi\u00e8res infections constat\u00e9es\nremontent \u00e0 d\u00e9but janvier 2024.\n\nL'\u00e9diteur indique ne pas avoir connaissance du vecteur initial\nd'infection. Toutefois une fois sur l'\u00e9quipement, l'attaquant exploite\nces deux vuln\u00e9rabilit\u00e9s pour mettre en place un implant, nomm\u00e9 *Line\nRunner* par Talos, qui est une porte d\u00e9rob\u00e9e persistante.\n\nLa pr\u00e9sence d'un autre implant, *Line Dancer,* a \u00e9t\u00e9 constat\u00e9 sur des\n\u00e9quipements compromis.\n\nCelui-ci est pr\u00e9sent uniquement en m\u00e9moire et permet \u00e0 l'attaquant :\n\n-   de d\u00e9sactiver les journaux d'activit\u00e9 syst\u00e8me ;\n-   de r\u00e9cup\u00e9rer des \u00e9lements de configuration ;\n-   d'effectuer et d'exfiltrer des captures r\u00e9seaux ;\n-   d'ex\u00e9cuter des commandes arbitraires ;\n-   de s'ins\u00e9rer dans le processus de vidage apr\u00e8s erreur (*crash dump*)\n    afin de r\u00e9duire la trace de son activit\u00e9 ;\n-   de s'ins\u00e9rer dans le processus d'authentification, authaurisation et\n    tracabilit\u00e9 (*Authentication, Authorization and Accounting, AAA*)\n    afin de contourner ces m\u00e9canismes.\n\nCisco conseille dans un premier temps d'appliquer les mises \u00e0 jour de\ns\u00e9curit\u00e9. Avant de mener les actions d'investigations et de rem\u00e9diations\npr\u00e9conis\u00e9es par Talos \\[1\\]\\[2\\], le CERT-FR recommande de d\u00e9connecter\nl'\u00e9quipement d'Internet.\n\nTalos insiste sur le fait de ne pas red\u00e9marrer l'\u00e9quipement ou tenter de\nr\u00e9cup\u00e9rer une image m\u00e9moire si les investigations initiales montrent une\nmodification des droits d'ex\u00e9cution de certaines zones m\u00e9moire.\n\n\u00a0\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans les produits Cisco","vendor_advisories":[{"published_at":"2024-04-24","title":"Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-asaftd-websrvs-dos-X8gNucD2","url":"https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2"},{"published_at":"2024-04-24","title":"Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-asaftd-persist-rce-FLsNXF4h","url":"https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h"}]}