xiaoliangge - Fotolia
Cisco corrige une vulnérabilité hautement critique dans ASA
L'application du correctif apparaît plus jamais urgente. La vulnérabilité a obtenu la note CVSS la plus élevée, 10. Elle permet notamment de forcer l'exécution de code arbitraire à distance.
C’est un élément de sécurité critique affecté par une vulnérabilité non moins critique : le logiciel de l’Adaptative Security Appliance de Cisco souffre d’une vulnérabilité de niveau 10 au CVSS. L’équipementier indique qu’elle peut permettre à « un attaquant distant, non authentifié, de déclencher le redémarrage du système ou d’exécuter du code à distance ».
Dans une note d’information, Cisco explique que c’est la fonctionnalité VPN SSL qui est affectée, en raison d’une « tentative de libérer en double une zone de mémoire lorsque la fonction webvpn est activée sur l’équipement ASA. Un attaquant pourrait exploiter cette vulnérabilité en envoyant de multiples paquets XML taillés sur mesure ». A la clé : la prise de contrôle totale du système.
L’éventail de systèmes concernés est large : appliances de sécurité industrielle (ISA) série 3000, appliances ASA 5500, pare-feu de nouvelle génération ASA 5500-X, module ASA pour commutateurs et routeurs Catalyst séries 6500 et 7600, pare-feu cloud ASA 1000V, appliance ASA virtuelle, systèmes Firepower 2100/4110 et module ASA pour Firepower 9300, et encore logiciel Firepower Threat Defense, depuis sa version 6.2.2.
Cisco recommande aux utilisateurs des versions 8.x et 9.0 d’ASA de migrer au moins vers la version 9.1.7.20. Des correctifs sont aussi disponibles pour les versions 9.2 et plus. Mais l’équipementier précise que les versions antérieures à la 9.1, ainsi que les 9.3 et 9.5 ne sont plus supportées. Et de conseiller de migrer vers une version supportée. A moins de désactiver la fonctionnalité WebVPN…
Pour Craig Young, de l’équipe de recherche de Tripwire, le risque vient surtout de la facilité avec laquelle des attaquants pourraient « identifier des serveurs VPN SSL via des services comme Shodan, au travers de rapports de transparence sur les certificats, en se concentrant sur ceux mentionnant le mot VPN ». De là, la vulnérabilité affectant les systèmes Cisco pourrait, par exemple, permettre « collecter des identifiants, mais aussi surveiller et manipuler le trafic réseau censé être protégé par le VPN ».
A ce jour, Shodan recense plus de 127 000 portails WebVPN en ligne, dont plus de 2000 en France. Certains exhibent un certificat SSL pour le moins explicite : le certificat auto-signé temporaire des systèmes ASA.
Avec nos confrères de SearchSecurity.com