Déni de service sur les produits CISCO

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Gestion du document

Origine: bjCSIRT

Numéro: 2018/AVIS/005

Date de l’alerte: 22/06/2018

TLP: White

Aperçu de la vulnérabilité

Une vulnérabilité dans l’interface web des produits CISCO ASA et CISCO Firepower Threat Defense (FTD) peut permettre à un attaquant distant de redémarrer un équipement CISCO ASA ou CISCO FTD sans être authentifié, entrainant ainsi un déni de service.

Description

CISCO ASA et FTD sont des solutions de sécurité largement utilisées dans les entreprises comme pare-feu et VPN. De nombreux modèles de ces produits souffrent d’une vulnérabilité qui permet à un attaquant non authentifié de redémarrer à distance ces équipements. Dans certains cas, l’équipement peut ne pas redémarrer entrainant un déni de service. La vulnérabilité affecte Cisco ASA Software et Cisco FTD dans les modèles suivants :

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 1000V Cloud Firewall
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)

Les fonctionnalités suivantes implémentent le processus vulnérable sur ces produits :

  • Adaptive Security Device Manager (ASDM)1
  • AnyConnect IKEv2 Remote Access (with client services)
  • AnyConnect IKEv2 Remote Access (without client services)
  • AnyConnect SSL VPN
  • Cisco Security Manager2
  • Clientless SSL VPN
  • Cut-Through Proxy
  • Local Certificate Authority (CA)
  • Mobile Device Manager (MDM) Proxy3
  • Mobile User Security (MUS)
  • Proxy Bypass
  • REST API4

Comment déterminer si votre équipement est vulnérable?

Pour déterminer si un CISCO ASA /CISCO FTD est vulnérable, saisir la commande suivante :

Commande_1 : show asp table socket | include SSL|DTLS

Résultat_1 :

SSL       00185038  LISTEN     172.16.0.250:443    0.0.0.0:*
SSL       00188638  LISTEN     10.0.0.250:443      0.0.0.0:*
DTLS      0018f7a8  LISTEN     10.0.0.250:443      0.0.0.0:*

Si vous avez des sockets SSL ou DTLS qui écoutent (quel que soit le port), votre équipement pourrait être vulnérable.

Commande_2 : show processes | include Unicorn

Résultat_2 : Mwe 0x0000557f9f5bafc0 0x00007f62de5a90a8 0x0000557fa52b50a0       3632 0x00007f62c8c87030 30704/32768 Unicorn Proxy Thread 218

Si en plus des sockets précédemment ouverts, le processus Unicorn tourne, votre équipement est vulnérable.

Mesures à prendre

La seule mesure à prendre est de mettre immédiatement votre équipement à jour. Il n’y pas de mesures alternatives.

Liens utiles

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0296

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd

Partagez sur vos réseaux.