Accueil > Alertes du CERT-MC et du CERT-FR > CERTFR-2024-ALE-007_Multiples vulnerabilites dans les produits Cisco

CERTFR-2024-ALE-007_Multiples vulnerabilites dans les produits Cisco

Objet : Multiples vulnérabilités dans les produits Cisco

Référence : CERTFR-2024-ALE-007

Risque(s)

- Déni de service à distance
- Exécution de code arbitraire

Systèmes affectés

- Cisco Adaptive Security Appliance (ASA) sans les derniers correctifs de sécurité, se référerer au bulletin de sécurité de l'éditeur pour les versions vulnérables (cf. section Documentation)
- Cisco Firepower Threat Defense (FTD) sans les derniers correctifs de sécurité, se référerer au bulletin de sécurité de l'éditeur pour les versions vulnérables (cf. section Documentation)

Résumé

Le 24 avril 2024, Cisco a publié trois avis de sécurité concernant des vulnérabilités affectant les équipements de sécurité ASA et FTD.

Deux d'entre eux concernent les vulnérabilités CVE-2024-20353 et CVE-2024-20359 qui sont activement exploitées dans le cadre d'attaques ciblées.

La vulnérabilité CVE-2024-20359 permet à un utilisateur authentifié avec des droits administrateur d'exécuter du code arbitraire avec les privilèges root.

En effet, si l'attaquant parvient à écrire un fichier malveillant sur le système de fichier du disk0:, cela lui permet d'exécuter son code au prochain redémarrage de l'équipement. Cisco indique que l'attaquant peut exploiter la vulnérabilité CVE-2024-20353 pour déclencher son redémarrage.

Dans son billet de blogue [1], Cisco Talos détaille l'historique des exploitations et indique que les premières infections constatées remontent à début janvier 2024.

L'éditeur indique ne pas avoir connaissance du vecteur initial d'infection. Toutefois une fois sur l'équipement, l'attaquant exploite ces deux vulnérabilités pour mettre en place un implant, nommé Line Runner par Talos, qui est une porte dérobée persistante.

La présence d'un autre implant, Line Dancer, a été constaté sur des équipements compromis.

Celui-ci est présent uniquement en mémoire et permet à l'attaquant :

- de désactiver les journaux d'activité système ;
- de récupérer des élements de configuration ;
- d'effectuer et d'exfiltrer des captures réseaux ;
- d'exécuter des commandes arbitraires ;
- de s'insérer dans le processus de vidage après erreur (crash dump) afin de réduire la trace de son activité ;
- de s'insérer dans le processus d'authentification, authaurisation et tracabilité (Authentication, Authorization and Accounting, AAA) afin de contourner ces mécanismes.

Cisco conseille dans un premier temps d'appliquer les mises à jour de sécurité. Avant de mener les actions d'investigations et de remédiations préconisées par Talos [1][2], le CERT-FR recommande de déconnecter l'équipement d'Internet.

Talos insiste sur le fait de ne pas redémarrer l'équipement ou tenter de récupérer une image mémoire si les investigations initiales montrent une modification des droits d'exécution de certaines zones mémoire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Cisco cisco-sa-asaftd-websrvs-dos-X8gNucD2 du 24 avril 2024
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2
- Bulletin de sécurité Cisco cisco-sa-asaftd-persist-rce-FLsNXF4h du 24 avril 2024
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h
- [1] Billet de blogue Cisco Talos du 24 avril 2024
https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/
- [2] Procédure d'investigation de Cisco sur les équipements ASA
https://sec.cloudapps.cisco.com/security/center/resources/forensic_guides/asa_forensic_investigation.html
- Communication Cisco
https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response
- Avis CERTFR-2024-AVI-0307 du 15 avril 2024
https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0347/
- Référence CVE CVE-2024-20353
https://www.cve.org/CVERecord?id=CVE-2024-20353
- Référence CVE CVE-2024-20359
https://www.cve.org/CVERecord?id=CVE-2024-20359

Dernière version du document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-007/

CERTFR-2024-ALE-015_Vulnérabilité sur l'interface de management des équipements Palo Alto Networks

18 novembre 2024
actualite

ObjetVulnérabilité sur l'interface de management des équipements Palo Alto NetworksRéférenceCERTFR-2024-ALE-015Risques Exécution de code arbitrai... Lire la suite[+]

CERTFR-2024-ALE-014_Vulnérabilité dans Fortinet FortiManager

23 octobre 2024
actualite

ObjetVulnérabilité dans Fortinet FortiManagerRéférenceCERTFR-2024-ALE-014Risques Exécution de code arbitraire à distance FortiManager Cloud vers... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Sécurité Nationale
Conseils élémentaires
//amsn.gouv.mc/Alertes-du-CERT-MC-et-du-CERT-FR/CERTFR-2024-ALE-007_Multiples-vulnerabilites-dans-les-produits-Cisco