Des attaquants exploitent une vulnérabilité logicielle sur des Appliances Cisco
Aucune mise à jour ne résout ce problème à l'heure actuelle

Le , par Stéphane le calme, Chroniqueur Actualités
Des attaquants encore non identifiés ont exploité une vulnérabilité logiciel exécutés sur des hardware de sécurité de Cisco. Le bogue pourrait déclencher un redémarrage des périphériques concernés, ce qui équivaut à une condition de déni de service (DoS).

Cisco a découvert le problème en abordant un problème d'assistance et est conscient de l'exploitation active en cours.

Attaque à distance, aucune authentification requise

La vulnérabilité, identifiée par CVE-2018-15454, est présente dans le moteur d'inspection SIP (Session Initiation Protocol) activé par défaut dans les logiciels ASA (Adaptive Security Appliance) et FTD (Firepower Threat Defense).

Si le plantage et le redémarrage de l'appliance ne se produisent pas, le fait de tirer parti de cette vulnérabilité a pour effet une utilisation intensive du processeur, ce qui ralentit le périphérique et le retarde dans le traitement des tâches à accomplir.

Dans son avis de sécurité, Cisco explique que le bogue peut être exploité à distance et ne nécessite aucune authentification :

« Une vulnérabilité du moteur d’inspection SIP (Session Initiation Protocol) du logiciel ASA (Cisco Adaptive Security Appliance) et du logiciel FTD (Cisco Firepower Threat Defense) pourrait permettre à un attaquant distant non authentifié de recharger ou de déclencher un processeur dans un état de déni de service (DoS).

« Cette vulnérabilité est due à une gestion incorrecte du trafic SIP. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des demandes SIP conçues pour déclencher spécifiquement ce problème à une vitesse élevée sur un périphérique affecté ».


3000 Series Industrial Security Appliance (ISA)

Multiples possibilités d'atténuation

Cisco a précisé que « Les mises à jour logicielles qui corrigent cette vulnérabilité ne sont pas encore disponibles. Aucune solution de contournement ne résout cette vulnérabilité. Les options d'atténuation qui traitent de cette vulnérabilité sont disponibles ».

En clair, à l'heure actuelle, aucune mise à jour logicielle ne résout le problème, mais plusieurs options d'atténuation existent.

Une solution consiste à désactiver l’inspection SIP, mais cela n’est pas faisable dans la plupart des cas car cela risquerait de rompre les connexions SIP.

Une autre option consiste à bloquer le trafic des adresses IP incriminées à l'aide d'une liste de contrôle d'accès (ACL). ou d'utiliser la commande 'shun' en mode EXEC pour arrêter les paquets provenant de l'adresse IP de l'attaquant - il ne s'agit pas d'une méthode persistante, comme c'est le cas pour la modification de la liste de contrôle d'accès

Cisco a remarqué que l'en-tête « Envoyé par l'adresse » du trafic en cause était défini sur 0.0.0.0, une valeur non valide. Les administrateurs peuvent utiliser ce modèle pour identifier les paquets défectueux et empêcher le plantage de l'appliance de sécurité.

Le dernier élément sur la liste des options d'atténuation consiste à mettre en œuvre une limite de débit sur le trafic SIP via le cadre de politique modulaire (MPF).

En attendant la mise à jour logicielle corrigeant CVE-2018-15454, les clients sont invités à adopter l'une des solutions d'atténuation décrites ci-dessus.

Produits concernés

Produits vulnérables

Cette vulnérabilité concerne les versions Cisco 9.4 et ultérieures du logiciel Cisco ASA ainsi que les versions 6.0 et ultérieures du logiciel Cisco FTD sur les appareils physiques et virtuels si l'inspection SIP est activée et que le logiciel s'exécute sur l'un des produits Cisco suivants:
  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)

L'inspection SIP est activée par défaut dans les logiciels Cisco ASA et Cisco FTD.


Déterminer la version du logiciel Cisco ASA

Pour déterminer quelle version du logiciel Cisco ASA est en cours d'exécution sur un périphérique, les administrateurs peuvent se connecter au périphérique, utiliser la commande show version dans l'interface de ligne de commande et faire référence à la sortie de la commande. L'exemple suivant montre la sortie de la commande pour un périphérique qui exécute la version 9.4 du logiciel Cisco ASA Software:

Code : Sélectionner tout
1
2
3
4
ciscoasa# show version | include Version

Cisco Adaptive Security Appliance Software Version 9.4(4)
Device Manager Version 7.4(1)
Si un périphérique est géré à l'aide de ASDM (Cisco Adaptive Security), les administrateurs peuvent également déterminer quelle version est exécutée sur un périphérique en consultant les informations de version dans le tableau qui apparaît dans la fenêtre de journal Cisco ASDM ou dans l'onglet Tableau de bord des périphériques. du volet d'accueil de Cisco ASDM.

Déterminer la version du logiciel Cisco FTD

Pour déterminer quelle version du logiciel Cisco FTD est en cours d'exécution sur un périphérique, les administrateurs peuvent se connecter au périphérique, utiliser la commande show version dans l'interface de ligne de commande et faire référence à la sortie de la commande. L'exemple suivant montre la sortie de la commande pour un périphérique qui exécute la version 6.2.0 du logiciel Cisco FTD:

Code : Sélectionner tout
1
2
3
4
5
6
7
> show version

---------------------[ ftd ]---------------------
Model : Cisco ASA5525-X Threat Defense (75) Version 6.2.0 (Build 362)
UUID : 2849ba3c-ecb8-11e6-98ca-b9fc2975893c
Rules update version : 2017-03-15-001-vrt
VDB version : 279
Indicateurs de compromission

Cisco explique que :

« Tandis que la vulnérabilité décrite dans cet avis est activement exploitée, la sortie après la commande show conn port 5060 indique un grand nombre de connexions SIP incomplètes et la sortie après la commande show processes cpu-usage non-zero sorted montre une utilisation élevée duCPU.

« Une exploitation réussie de cette vulnérabilité peut également entraîner le plantage et le redémarrage du périphérique affecté. Une fois le périphérique redémarré, la sortie après la commande show crashinfo indiquera un abandon inconnu du thread DATAPATH. Le client doit contacter Cisco TAC avec ces informations pour déterminer si l'incident en question était lié à l'exploitation de cette vulnérabilité ».

Source : Cisco

Voir aussi :

Une vulnérabilité 0-day dans un plugin jQuery permettrait de télécharger et d'exécuter du code malveillant sur des serveurs PHP et ce, depuis 2010
Les vulnérabilités de la chaîne logistique des logiciels libres ont doublé en 1 an, cependant, leur utilisation a augmenté de 120 % selon un rapport
Une vulnérabilité 0Day dans Windows a été rendue publique, parce que Microsoft n'a pas pu respecter le délai canonique de 120 jours
Patch Tuesday : Microsoft corrige la faille zero-day affectant ALPC dans l'édition de septembre, au total 17 vulnérabilités critiques sont colmatées


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Bruno43 Bruno43 - Membre à l'essai https://www.developpez.com
le 10/11/2018 à 10:04
Faut arrêter avec ces anglicismes créés par des commerciaux qui trouvent que ça fait plus cool pour vendre leurs produits d'utiliser le mot anglais (tronqué en plus). Quelle vedette, le mec qui c'est mis à utiliser le mot appliance pour faire chic, alors que chez Cisco comme chez tous les anglophones appliance ça veut juste dire appareil.. Ah c'est plus prosaïque...
Mais du coup on crée des mots à la pelles qui sont dénués de sens, compris par un petit groupe qui trouve que c'est cool d'être dans un petit groupe. Et nous les mecs de l'informatique on passe encore pour des illettrés...
Avatar de FMJ FMJ - Membre actif https://www.developpez.com
le 10/11/2018 à 11:43
Appliance : Une application matérielle ou un serveur monofonctionnel (au Québec) par opposition à une application logicielle est un appareil informatique généralement discret, spécifiquement conçu pour exécuter un micrologiciel destiné à fournir une ressource informatique distincte.
Donc non, la traduction d'appareil est très réducteur par rapport au sens que revêt le terme "appliance" !
Avatar de Bruno43 Bruno43 - Membre à l'essai https://www.developpez.com
le 10/11/2018 à 12:12
Je ne propose pas appareil comme traduction, je dis juste que dire appliance au lieu d'application matérielle revient à dire appareil à la place d'application matérielle. Appliance est un barbarisme. Ce n'est pas parce qu'il est employé ou qu'il est sur wikipédia qu'il existe. Il faut dire application matérielle.

 
Contacter le responsable de la rubrique Accueil