Cisco, une faille critique de sécurité réseau est exploitée

Cisco a averti qu’une faille très grave dans son logiciel de sécurité réseau est activement exploitée, permettant à des attaquants distants et non authentifiés d’accéder à des données sensibles.

Des correctifs pour la vulnérabilité (CVE-2020-3452) en question, qui a une note de 7,5 sur 10 sur l’échelle CVSS, ont été publiés. Cependant, les attaquants ont depuis ciblé des versions vulnérables du logiciel, où les correctifs n’ont pas encore été appliqués.

«L’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) est consciente de l’existence d’un code d’exploitation publique et de l’exploitation active de la vulnérabilité décrite dans cet avis», selon Cisco.

La faille existe spécifiquement dans l’interface des services Web du logiciel Firepower Threat Defense (FTD), qui fait partie de la suite Cisco de produits de sécurité réseau et de gestion du trafic; et son logiciel Adaptive Security Appliance (ASA), le système d’exploitation de sa famille de dispositifs de sécurité réseau d’entreprise.

La surface de menace potentielle est vaste: les chercheurs de Rapid7 ont récemment trouvé 85 000 appareils ASA/FTD accessibles sur Internet. Pire encore, 398 d’entre eux sont répartis sur 17% des entreprises de Fortune 500, selon les chercheurs.

cisco webex

La faille est causée par un manque de validation d’entrée correcte des URL dans les requêtes HTTP traitées par les appareils concernés. Plus précisément, la faille permet aux attaquants de mener des attaques de traversée de répertoire, qui est une attaque HTTP permettant aux acteurs malveillants d’accéder à des répertoires restreints et d’exécuter des commandes en dehors du répertoire racine du serveur Web.

Peu de temps après la publication des correctifs, un code d’exploitation de preuve de concept (POC) a été publié par le chercheur en sécurité Ahmed Aboul-Ela.

Un attaquant potentiel peut accéder à des fichiers plus sensibles dans le système de fichiers des services Web: les fichiers des services Web peuvent contenir des informations telles que la configuration WebVPN, des signets, des cookies Web, un contenu Web partiel et des URL HTTP.

Cisco a déclaré que la vulnérabilité affecte les produits s’ils utilisent une version vulnérable du logiciel ASA ou du logiciel FTD, avec une configuration vulnérable d’AnyConnect ou WebVPN: «Le système de fichiers des services Web est activé lorsque le périphérique affecté est configuré avec les fonctionnalités WebVPN ou AnyConnect », Selon son avis. Cependant, «cette vulnérabilité ne peut pas être utilisée pour accéder aux fichiers système ASA ou FTD ou aux fichiers du système d’exploitation (OS) sous-jacents.»

cisco

Les chercheurs de Rapid7 affirment que depuis la publication du correctif, seulement 10% environ des périphériques ASA/FTD détectés comme étant connectés à Internet ont été rebootés – ce qui est un «indicateur probable qu’ils ont été corrigés». Seulement 27 des 398 entreprises détectées dans Fortune 500 semblent avoir été rebooté.

Patchez vos logiciels Cisco

Les chercheurs encouragent la correction immédiate des installations ASA/FTD vulnérables “pour empêcher aux attaquants d’obtenir des informations sensibles de ces appareils qui peuvent être utilisées dans des attaques ciblées.”

«Cisco a fourni des correctifs pour toutes les versions prises en charge des composants ASA et FTD», ont déclaré les chercheurs. «Les versions 9.5 et antérieures du logiciel ASA, ainsi que la version 9.7, ainsi que la version 6.2.2 de FTD ont atteint leur fin de maintenance logicielle et les organisations devront passer à une version ultérieure prise en charge pour corriger cette vulnérabilité.»

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x