Cisco : le bogue du gestionnaire de pare-feu est une faille zero-day

0

Dans une mise à jour de l’avis de sécurité, Cisco a révélé qu’une vulnérabilité d’exécution de code à distance dans le lanceur Adaptive Security Device Manager (ADSM) divulguée le mois dernier est un bogue zero-day qui n’a pas encore reçu de mise à jour de sécurité.

Cisco ADSM est un gestionnaire de pare-feu qui fournit une interface Web pour la gestion des pare-feux Cisco Adaptive Security Appliance (ASA) et des clients AnyConnect Secure Mobility.

« Au moment de la publication, Cisco prévoyait de corriger cette vulnérabilité dans Cisco ASDM », indique la société dans la mise à jour de l’avis.

« Cisco n’a pas publié de mises à jour logicielles qui corrigent cette vulnérabilité. Il n’existe aucune solution de contournement qui corrige cette vulnérabilité. »

Dans une mise à jour précédente, la société a également modifié la liste des versions logicielles ADSM concernées, des versions « 9.16.1 et antérieures » (comme indiqué dans l’avis initial) à « 7.16 (1.150) et antérieures ».

Un Bug d’exécution de code à distance exploitable via une attaque MiTM(Man-In-The-Middle)

Le bogue zero-day, identifié comme CVE-2021-1585, est causé par une vérification de signature incorrecte pour le code échangé entre l’ASDM et le lanceur.

Une exploitation réussie pourrait permettre à un attaquant non authentifié d’exécuter à distance du code arbitraire sur le système d’exploitation d’une cible avec les privilèges attribués au lanceur ASDM.

« Un attaquant pourrait exploiter cette vulnérabilité en tirant parti d’une position intermédiaire sur le réseau pour intercepter le trafic entre le lanceur et l’ASDM, puis injecter du code arbitraire », explique Cisco dans l’avis mis à jour.

« Un exploit réussi peut obliger l’attaquant à effectuer une attaque d’ingénierie sociale pour persuader l’utilisateur d’initier la communication depuis le lanceur vers l’ASDM. »

De plus, la société affirme que son équipe de réponse aux incidents de sécurité des produits (PSIRT) n’est pas encore au courant des exploits de preuve de concept pour cette faille zero-day ou des pirates informatiques qui l’exploitent dans la nature.

Pas leur premier rodéo

Il y a trois mois, Cisco a corrigé une vulnérabilité zero-day vieille de six mois (CVE-2020-3556) dans le logiciel VPN Cisco AnyConnect Secure Mobility Client, avec un code d’exploit de preuve de concept accessible au public.

Alors que le PSIRT de Cisco a déclaré que le code d’exploitation de preuve de concept était disponible publiquement lorsque le bogue a été divulgué, il a également ajouté qu’il n’y avait aucune preuve d’abus dans la nature.

Cisco a révélé la faille zero-day en novembre 2020 sans mises à jour de sécurité pour corriger la faiblesse sous-jacente, mais il a fourni des mesures d’atténuation pour réduire la surface d’attaque.

Avant de traiter CVE-2020-3556 en Mai, aucune exploitation active n’avait été signalée, probablement parce que les configurations VPN par défaut n’étaient pas vulnérables aux attaques et que le bogue ne pouvait être abusé que par des attaquants locaux authentifiés.

Cependant, le mois dernier, les pirates se sont immédiatement jetés sur un bogue de l’ASA de Cisco (partiellement corrigé en Octobre 2020 et entièrement corrigé en Avril 2021), immédiatement après que l’équipe offensive de Positive Technologies ait publié un exploit de preuve de concept.

Laisser un commentaire