Cisco a demandé aux utilisateurs de son dispositif pare-feu ASA (Adaptive Security Appliance) à mettre à jour leur logiciel dès que possible afin d’empêcher les attaquants non authentifiés d’exécuter du code arbitraire à distance.
Dans son avis, Cisco a déclaré que la vulnérabilité découle d’une faille dans le composant de réseau privé virtuel (VPN) SSL (Secure Sockets Layer) du périphérique ASA, qui est utilisé pour l’accès à distance.En envoyant des paquets de données contenant des fichiers XML spécialement conçus à des appareils ASA avec l’interface WebVPN, les pirates peuvent exécuter n’importe quel code et prendre le contrôle total des systèmes vulnérables.
La faille CVE-2018-0101 peut également être exploitée pour recharger le pare-feu, a averti Cisco.
WebVPN permet d’accéder à un large éventail de ressources Web et d’applications Web à partir de presque tous les ordinateurs sur Internet, tels que les sites Web internes, Outlook Web Access et les proxy d’e-mail, entre autres.
Les versions majeures 8.x, 9.0, 9.3 et 9.5 du logiciel ASA de Cisco sont affectées. Les utilisateurs sont invités à migrer vers la version 9.1.7.20 ou ultérieure pour les deux premières variantes plus anciennes, et 9.4.4.14 et 9.6.3.20 pour les deux dernières variantes.
La version 6.2.2.2 du logiciel Firepower Threat Defense est également vulnérable et les clients devraient passer à la version 6.2.2.2-4 ou 6.2.2.2-6 de FTD.
Les pare-feu ASA 3000, 5000 et 5500 de Cisco sont affectés, tout comme le module ASA Services pour les commutateurs et les routeurs des séries Catalyst 6500 et 7600.
L’appliance virtuelle de sécurité adaptative et les périphériques Firepower 2100 et 4110 sont également vulnérables, ainsi que le module de sécurité Firepower 9300 et Threat Defense Software.
Pour déterminer si une version vulnérable du logiciel Cisco ASA s’exécute sur un périphérique, il est conseillé aux clients d’utiliser la commande show version ou Adaptive Security Device Manager.
Mise à jour: Un porte-parole de l’entreprise a déclaré que bien que Cisco ne considère pas la désactivation de la fonctionnalité WebVPN comme une atténuation, les produits ASA ne sont pas vulnérables si le service n’est pas en cours d’exécution.
Ils ont déclaré que WebVPN n’est pas activé par défaut dans les ASA de Cisco.