ALERTE CERTFR - 2018 - ALE - 002
Publié le 1 février 2018 à 12h01 - Mis à jour le 31 janvier 2025 à 15h13
Objet
Vulnérabilité dans Cisco Adaptive Security Appliance
Référence
CERTFR-2018-ALE-002
Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
Systèmes affectés
- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500 Series Adaptive Security Appliances
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module pour les commutateurs Cisco Catalyst série 6500 et les routeurs Cisco série 7600
- ASA 1000V Cloud Firewall
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4110 Security Appliance
- Firepower 9300 ASA Security Module
- Firepower Threat Defense Software (FTD)
Résumé
Un chercheur du NCC Group a trouvé une vulnérabilité dans le logiciel Adaptive Security Appliance (ASA) de Cisco. En envoyant des paquets contenant du XML malformé sur une interface configurée pour accepter des communications webvpn, un attaquant peut provoquer un déni de service ou pire obtenir une exécution de code à distance.
Cette vulnérabilité est jugée critique, avec un score CVSS de 10. Elle impacte de nombreux produits de bordure de réseau, à savoir des routeurs ainsi que des pare-feux et autres produits de sécurité (cf. section Systèmes affectés). Cette vulnérabilité touche également les équipements utilisant le logiciel Firepower Threat Defense (FTD) dans sa version 6.2.2. Les versions antérieures ne supportent pas le service de VPN SSL, elles ne sont donc pas vulnérables.
Le 29 janvier 2018, Cisco a publié un correctif pour cette vulnérabilité (cf. section Documentation).
Le 2 février 2018, le chercheur ayant trouvé cette vulnérabilité présentera ses travaux à l'occasion de la conférence de sécurité REcon à Bruxelles (cf. section Documentation).
Contournement provisoire
En cas d'usage des équipements concernés, le CERT-FR recommande :
- de désactiver la fonction VPN SSL si elle n'est pas utilisée et de planifier la mise à jour des équipements ;
- d'appliquer les correctifs immédiatement si la fonction VPN est utilisée.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Cisco cisco-sa-20180129-asa1 du 29 janvier 2018 : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1
- Avis CERT-FR CERTFR-2018-AVI-063 Vulnérabilité dans Cisco Adaptive Security Appliance : https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-063
- REcon Bruxelles 2018 : https://recon.cx/2018/brussels/
- Référence CVE CVE-2018-0101 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0101