Cisco ASA : patch et re-patch sur fond d'attaques en cours

Cisco propose de nouveaux correctifs pour la vulnérabilité référencée CVE-2018-0101. Dans sa note d’information la concernant, il explique qu’après « investigation plus poussée », il a « identifié des vecteurs d’attaque et des fonctionnalités supplémentaires affectés par cette vulnérabilité ». Et de préciser en outre que « le correctif initial était incomplet ».

C’est fin janvier que Cisco a dévoilé que le logiciel de son Adaptative Security Appliance (ASA) souffrait d’une vulnérabilité de niveau 10 au CVSS, celui qui représente la plus haute criticité. De fait, elle peut permettre à « un attaquant distant, non authentifié, de déclencher le redémarrage du système ou d’exécuter du code à distance ».

Initialement, Cisco indiquait que la fonctionnalité VPN SSL d’ASA était concernée, en raison d’une « tentative de libérer en double une zone de mémoire lorsque la fonction webvpn est activée sur l’équipement ». L’exploitation de la vulnérabilité nécessite l’envoi de « multiples paquets XML taillés sur mesure ». C’est donc le moteur de traitement XML qui est concerné.

Pour Craig Young, de l’équipe de recherche de Tripwire, le risque vient surtout de la facilité avec laquelle des attaquants pourraient « identifier des serveurs VPN SSL via des services comme Shodan, au travers de rapports de transparence sur les certificats, en se concentrant sur ceux mentionnant le mot VPN ». De là, la vulnérabilité affectant les systèmes Cisco pourrait, par exemple, permettre « collecter des identifiants, mais aussi surveiller et manipuler le trafic réseau censé être protégé par le VPN ».

A ce jour, Shodan recense plus de 127 000 portails WebVPN en ligne, dont plus de 2000 en France. Certains exhibent un certificat SSL pour le moins explicite : le certificat auto-signé temporaire des systèmes ASA.

Et l’application des correctifs apparaît d’autant plus urgente que désormais, Cisco indique que ses équipes chargées de la réponse aux incidents de sécurité affectant ses produits « ont connaissance de tentatives malveillantes d’utilisation de la vulnérabilité ».