Cisco a découvert le problème en abordant un problème d'assistance et est conscient de l'exploitation active en cours.
Attaque à distance, aucune authentification requise
La vulnérabilité, identifiée par CVE-2018-15454, est présente dans le moteur d'inspection SIP (Session Initiation Protocol) activé par défaut dans les logiciels ASA (Adaptive Security Appliance) et FTD (Firepower Threat Defense).
Si le plantage et le redémarrage de l'appliance ne se produisent pas, le fait de tirer parti de cette vulnérabilité a pour effet une utilisation intensive du processeur, ce qui ralentit le périphérique et le retarde dans le traitement des tâches à accomplir.
Dans son avis de sécurité, Cisco explique que le bogue peut être exploité à distance et ne nécessite aucune authentification :
« Une vulnérabilité du moteur d’inspection SIP (Session Initiation Protocol) du logiciel ASA (Cisco Adaptive Security Appliance) et du logiciel FTD (Cisco Firepower Threat Defense) pourrait permettre à un attaquant distant non authentifié de recharger ou de déclencher un processeur dans un état de déni de service (DoS).
« Cette vulnérabilité est due à une gestion incorrecte du trafic SIP. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des demandes SIP conçues pour déclencher spécifiquement ce problème à une vitesse élevée sur un périphérique affecté ».
3000 Series Industrial Security Appliance (ISA)
Multiples possibilités d'atténuation
Cisco a précisé que « Les mises à jour logicielles qui corrigent cette vulnérabilité ne sont pas encore disponibles. Aucune solution de contournement ne résout cette vulnérabilité. Les options d'atténuation qui traitent de cette vulnérabilité sont disponibles ».
En clair, à l'heure actuelle, aucune mise à jour logicielle ne résout le problème, mais plusieurs options d'atténuation existent.
Une solution consiste à désactiver l’inspection SIP, mais cela n’est pas faisable dans la plupart des cas car cela risquerait de rompre les connexions SIP.
Une autre option consiste à bloquer le trafic des adresses IP incriminées à l'aide d'une liste de contrôle d'accès (ACL). ou d'utiliser la commande 'shun' en mode EXEC pour arrêter les paquets provenant de l'adresse IP de l'attaquant - il ne s'agit pas d'une méthode persistante, comme c'est le cas pour la modification de la liste de contrôle d'accès
Cisco a remarqué que l'en-tête « Envoyé par l'adresse » du trafic en cause était défini sur 0.0.0.0, une valeur non valide. Les administrateurs peuvent utiliser ce modèle pour identifier les paquets défectueux et empêcher le plantage de l'appliance de sécurité.
Le dernier élément sur la liste des options d'atténuation consiste à mettre en œuvre une limite de débit sur le trafic SIP via le cadre de politique modulaire (MPF).
En attendant la mise à jour logicielle corrigeant CVE-2018-15454, les clients sont invités à adopter l'une des solutions d'atténuation décrites ci-dessus.
Produits concernés
Produits vulnérables
Cette vulnérabilité concerne les versions Cisco 9.4 et ultérieures du logiciel Cisco ASA ainsi que les versions 6.0 et ultérieures du logiciel Cisco FTD sur les appareils physiques et virtuels si l'inspection SIP est activée et que le logiciel s'exécute sur l'un des produits Cisco suivants:
- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4100 Series Security Appliance
- Firepower 9300 ASA Security Module
- FTD Virtual (FTDv)
L'inspection SIP est activée par défaut dans les logiciels Cisco ASA et Cisco FTD.
Déterminer la version du logiciel Cisco ASA
Pour déterminer quelle version du logiciel Cisco ASA est en cours d'exécution sur un périphérique, les administrateurs peuvent se connecter au périphérique, utiliser la commande show version dans l'interface de ligne de commande et faire référence à la sortie de la commande. L'exemple suivant montre la sortie de la commande pour un périphérique qui exécute la version 9.4 du logiciel Cisco ASA Software:
Code : | Sélectionner tout |
1 2 3 4 | ciscoasa# show version | include Version Cisco Adaptive Security Appliance Software Version 9.4(4) Device Manager Version 7.4(1) |
Déterminer la version du logiciel Cisco FTD
Pour déterminer quelle version du logiciel Cisco FTD est en cours d'exécution sur un périphérique, les administrateurs peuvent se connecter au périphérique, utiliser la commande show version dans l'interface de ligne de commande et faire référence à la sortie de la commande. L'exemple suivant montre la sortie de la commande pour un périphérique qui exécute la version 6.2.0 du logiciel Cisco FTD:
Code : | Sélectionner tout |
1 2 3 4 5 6 7 | > show version ---------------------[ ftd ]--------------------- Model : Cisco ASA5525-X Threat Defense (75) Version 6.2.0 (Build 362) UUID : 2849ba3c-ecb8-11e6-98ca-b9fc2975893c Rules update version : 2017-03-15-001-vrt VDB version : 279 |
Cisco explique que :
« Tandis que la vulnérabilité décrite dans cet avis est activement exploitée, la sortie après la commande show conn port 5060 indique un grand nombre de connexions SIP incomplètes et la sortie après la commande show processes cpu-usage non-zero sorted montre une utilisation élevée duCPU.
« Une exploitation réussie de cette vulnérabilité peut également entraîner le plantage et le redémarrage du périphérique affecté. Une fois le périphérique redémarré, la sortie après la commande show crashinfo indiquera un abandon inconnu du thread DATAPATH. Le client doit contacter Cisco TAC avec ces informations pour déterminer si l'incident en question était lié à l'exploitation de cette vulnérabilité ».
Source : Cisco
Voir aussi :
Une vulnérabilité 0-day dans un plugin jQuery permettrait de télécharger et d'exécuter du code malveillant sur des serveurs PHP et ce, depuis 2010
Les vulnérabilités de la chaîne logistique des logiciels libres ont doublé en 1 an, cependant, leur utilisation a augmenté de 120 % selon un rapport
Une vulnérabilité 0Day dans Windows a été rendue publique, parce que Microsoft n'a pas pu respecter le délai canonique de 120 jours
Patch Tuesday : Microsoft corrige la faille zero-day affectant ALPC dans l'édition de septembre, au total 17 vulnérabilités critiques sont colmatées