Cisco Adaptive Security Appliance

Cisco Adaptive Security Appliance - Exécution de code malveillant à distance et déni de service

Reference: CERT.be Avis #2018-002
Version: 1.0

Logiciels concernés

Cette vulnérabilité affecte les équipements réseaux qui utilisent une version vulnérable du logiciel ASA de Cisco où la fonction webvpn est activée. Afin de déterminer si la fonction webvpn est activée, les administrateurs peuvent utiliser la commande show running-config webvpn dans l’interface en ligne de commande et vérifier ce qu’elle retourne.
Exemple :
ciscoasa# show running-config webvpn
webvpn

Déterminer la version du logiciel ASA utilisé

Afin de déterminer si la version du logiciel ASA de Cisco utilisée sur votre matériel est vulnérable, les administrateurs peuvent utiliser la commande show version dans l’interface en ligne de commande.
Exemple :
ciscoasa# show version | include Version
Cisco Adaptive Security Appliance Software Version 9.2(1)
Device Manager Version 7.4(1)
En cas d’usage du logiciel Cisco Adaptive Security Device Manager (ASDM) pour la maintenance des équipements de ce type, la version du logiciel utilisée est affichée dans le tableau de l’écran de connexion ou en haut à gauche de la fenêtre Cisco ASDM.

Sources

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/ci...

Risques

Un exploit pourrait permettre à un acteur malveillant d’exécuter du code malveillant afin d’obtenir le contrôle total du système ou de forcer l’équipement affecté à redémarrer (Déni de Service).

Résumé

Une vulnérabilité au niveau SSL de la fonctionnalité VPN du logiciel ASA Cisco permettrait à un acteur malveillant un accès à distance non-authentifié afin d’exécuter du code malveillant ou de forcer l’équipement affecté à redémarrer (Déni de Service).
La vulnérabilité viens d’une tentative de libérer deux fois un endroit de la mémoire quand la fonctionnalité webvpn est active. Un acteur malveillant pourrait exploiter cette vulnérabilité en envoyant de multiples paquets XML forgés à une interface webvpn configurée sur l’équipement ciblé.
Il n’y a pas de solution temporaire à cette vulnérabilité (hormis désactiver webvpn), toutefois Cisco à résolu le problème grâce à une mise à jour.

Actions préconisées

Cisco fournit une mise à jour gratuite qui résous le problème décrit ci-dessus. Si vous avez une version vulnérable, installer simplement la version mise à jour (voir tableau ci-dessous).

1 – Les versions antérieures à la 9.1, incluant toutes les versions 8.x, 9.3 et 9.5 ont atteint la fin de leur cycle de maintenance. Un renouveau de license peut être nécessaire.