Gestion du document
Origine: bjCSIRT
Numéro: 2018/AVIS/001
Date de l’alerte: 31/01/2018
TLP: White
Aperçu de la menace
Une vulnérabilité de la fonctionnalité VPN SSL du logiciel ASA (Cisco Adaptive Security Appliance) peut permettre à un attaquant distant non authentifié de provoquer un rechargement du système affecté ou d’exécuter du code à distance. La sévérité de cette vulnérabilité est notée 10 sur une échelle de 10.
Description
La vulnérabilité est due à une tentative de double libération d’une région de mémoire lorsque la fonctionnalité webvpn est activée sur le périphérique Cisco ASA. Un attaquant pourrait exploiter cette vulnérabilité en envoyant plusieurs paquets XML spécialement conçus à une interface configurée par webvpn sur le système affecté. Un exploit pourrait permettre à l’attaquant d’exécuter du code arbitraire et d’obtenir un contrôle total du système, ou provoquer un rechargement du périphérique affecté.
La vulnérabilité affecte les périphériques Cisco ASA suivants, mais uniquement si la fonction « webvpn » est activée dans les paramètres du système d’exploitation :
- appareils de sécurité industrielle série 3000 (ISA) ;
- appareils de sécurité adaptatifs série ASA 5500 ;
- pare-feu de nouvelle génération ASA 5500-X ;
- module de services ASA pour les commutateurs de la gamme Cisco Catalyst 6500 et les routeurs de la gamme Cisco 7600 ;
- pare-feu cloud ASA 1000V ;
- appliance virtuelle de sécurité adaptative (ASAv) ;
- appliance de sécurité Firepower 2100 Series ;
- appareil de sécurité Firepower 4110 ;
- module de sécurité Firepower 9300 ASA ;
- logiciel de défense contre les menaces Firepower (FTD).
Pour déterminer si webvpn est activé, les administrateurs peuvent utiliser la commande show running-config webvpn au niveau de l’interface de ligne de commande et vérifier ce que la commande renvoie à la sortie.
Mesures à prendre
Nous vous invitons à mettre à jour les produits concernés. La vulnérabilité a été rendue publique et il se peut que des exploits soient déjà en cours d’élaboration.
