CERTFR-2018-ALE-002
Vulnerability from certfr_alerte

Un chercheur du NCC Group a trouvé une vulnérabilité dans le logiciel Adaptive Security Appliance (ASA) de Cisco. En envoyant des paquets contenant du XML malformé sur une interface configurée pour accepter des communications webvpn, un attaquant peut provoquer un déni de service ou pire obtenir une exécution de code à distance.

Cette vulnérabilité est jugée critique, avec un score CVSS de 10. Elle impacte de nombreux produits de bordure de réseau, à savoir des routeurs ainsi que des pare-feux et autres produits de sécurité (cf. section Systèmes affectés). Cette vulnérabilité touche également les équipements utilisant le logiciel Firepower Threat Defense (FTD) à partir de sa version 6.0.0.

Le 29 janvier 2018, Cisco a publié un correctif pour cette vulnérabilité (cf. section Documentation).

Le 2 février 2018, le chercheur ayant trouvé cette vulnérabilité présentera ses travaux à l'occasion de la conférence de sécurité REcon à Bruxelles (cf. section Documentation).

Le 5 février 2018, Cisco a mis a jour le bulletin de sécurité relatif à cette vulnérabilité.
Après une analyse approfondie, le constructeur a identifié de nouveaux services vulnérables. La vulnérabilité reposant sur une faiblesse de l'analyseur XML, il est possible de tirer parti de cette faille depuis plusieurs composants faisant appel à cet analyseur. La liste des systèmes et versions impactés à ainsi été mise à jour en conséquence par l'éditeur.
Le CERT-FR recommande de se reporter au bulletin de sécurité de l'éditeur (cf. section Documentation) pour obtenir une liste des composants et des configurations vulnérables.
De plus, le premier correctif mis à disposition par Cisco pour cette vulnérabilité ne corrigeant que partiellement la faille, de nouvelles mises à jour de sécurité sont disponibles pour les systèmes concernés.

Une publication de blogue Cisco complétant les informations disponibles sur cette failles a également été publiée le 5 février 2018 (cf. section Documentation).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Contournement provisoire

En cas d'usage des équipements concernés, le CERT-FR recommande :

  • de désactiver la fonction VPN SSL si elle n'est pas utilisée et de planifier la mise à jour des équipements ;
  • d'appliquer les correctifs immédiatement sur l'ensemble des équipements concernés.
None
Impacted products
Vendor Product Description
Cisco Adaptive Security Appliance Firepower 9300 ASA Security Module
Cisco Adaptive Security Appliance Firepower 4140 Security Appliance
Cisco Adaptive Security Appliance Firepower 2100 Series Security Appliance
Cisco Adaptive Security Appliance ASA Services Module pour les commutateurs Cisco Catalyst série 6500 et les routeurs Cisco série 7600
Cisco Adaptive Security Appliance Firepower 4150 Security Appliance
Cisco Adaptive Security Appliance ASA 5500 Series Adaptive Security Appliances
Cisco Adaptive Security Appliance ASA 5500-X Series Next-Generation Firewalls
Cisco Adaptive Security Appliance Adaptive Security Virtual Appliance (ASAv)
Cisco Adaptive Security Appliance Firepower 4110 Security Appliance
Cisco Adaptive Security Appliance ASA 1000V Cloud Firewall
Cisco Adaptive Security Appliance Firepower Threat Defense Software (FTD)
Cisco Adaptive Security Appliance 3000 Series Industrial Security Appliance (ISA)
Cisco Adaptive Security Appliance Firepower 4120 Security Appliance
Cisco Adaptive Security Appliance FTD Virtual
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Firepower 9300 ASA Security Module",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Firepower 4140 Security Appliance",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Firepower 2100 Series Security Appliance",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "ASA Services Module pour les commutateurs Cisco Catalyst s\u00e9rie 6500 et les routeurs Cisco s\u00e9rie 7600",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Firepower 4150 Security Appliance",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "ASA 5500 Series Adaptive Security Appliances",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "ASA 5500-X Series Next-Generation Firewalls",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Adaptive Security Virtual Appliance (ASAv)",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Firepower 4110 Security Appliance",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "ASA 1000V Cloud Firewall",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Firepower Threat Defense Software (FTD)",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "3000 Series Industrial Security Appliance (ISA)",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Firepower 4120 Security Appliance",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "FTD Virtual",
      "product": {
        "name": "Adaptive Security Appliance",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2018-04-06",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n\n## Contournement provisoire\n\nEn cas d\u0027usage des \u00e9quipements concern\u00e9s, le CERT-FR recommande :\n\n-   de d\u00e9sactiver la fonction VPN SSL si elle n\u0027est pas utilis\u00e9e et de\n    planifier la mise \u00e0 jour des \u00e9quipements ;\n-   d\u0027appliquer les correctifs imm\u00e9diatement sur l\u0027ensemble des\n    \u00e9quipements concern\u00e9s.\n",
  "cves": [
    {
      "name": "CVE-2018-0101",
      "url": "https://www.cve.org/CVERecord?id=CVE-2018-0101"
    }
  ],
  "initial_release_date": "2018-02-01T00:00:00",
  "last_revision_date": "2018-04-06T00:00:00",
  "links": [
    {
      "title": "Avis CERT-FR CERTFR-2018-AVI-063 Vuln\u00e9rabilit\u00e9 dans Cisco Adaptive Security Appliance",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-063"
    },
    {
      "title": "Publication de blogue Cisco sur la CVE-2018-0101 du 5 f\u00e9vrier 2018",
      "url": "https://blogs.cisco.com/security/cve-2018-0101"
    },
    {
      "title": "REcon Bruxelles 2018",
      "url": "https://recon.cx/2018/brussels/"
    }
  ],
  "reference": "CERTFR-2018-ALE-002",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2018-02-01T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour du p\u00e9rim\u00e8tre de la vuln\u00e9rabilit\u00e9 et des syst\u00e8mes affect\u00e9s",
      "revision_date": "2018-02-06T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour du p\u00e9rim\u00e8tre de la vuln\u00e9rabilit\u00e9 et des syst\u00e8mes affect\u00e9s",
      "revision_date": "2018-02-06T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte",
      "revision_date": "2018-04-06T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Un chercheur du NCC Group a trouv\u00e9 une vuln\u00e9rabilit\u00e9 dans le\nlogiciel\u00a0*Adaptive Security Appliance* (ASA) de Cisco. En envoyant des\npaquets contenant du XML malform\u00e9 sur une interface configur\u00e9e pour\naccepter des communications\u00a0*webvpn*, un attaquant peut provoquer un\nd\u00e9ni de service ou pire obtenir une ex\u00e9cution de code \u00e0 distance.\n\nCette vuln\u00e9rabilit\u00e9 est jug\u00e9e critique, avec un score CVSS de 10. Elle\nimpacte de nombreux produits de bordure de r\u00e9seau, \u00e0 savoir des routeurs\nainsi que des pare-feux et autres produits de s\u00e9curit\u00e9 (cf. section\nSyst\u00e8mes affect\u00e9s). Cette vuln\u00e9rabilit\u00e9 touche \u00e9galement les \u00e9quipements\nutilisant le logiciel *Firepower Threat Defense* (FTD) \u00e0 partir de sa\nversion 6.0.0.\n\nLe 29 janvier 2018, Cisco a publi\u00e9 un correctif pour cette vuln\u00e9rabilit\u00e9\n(cf. section Documentation).\n\nLe 2 f\u00e9vrier 2018, le chercheur ayant trouv\u00e9 cette vuln\u00e9rabilit\u00e9\npr\u00e9sentera ses travaux \u00e0 l\u0027occasion de la conf\u00e9rence de s\u00e9curit\u00e9 REcon \u00e0\nBruxelles (cf. section Documentation).\n\nLe 5 f\u00e9vrier 2018, Cisco a mis a jour le bulletin de s\u00e9curit\u00e9 relatif \u00e0\ncette vuln\u00e9rabilit\u00e9.  \nApr\u00e8s une analyse approfondie, le constructeur a identifi\u00e9 de nouveaux\nservices vuln\u00e9rables. La vuln\u00e9rabilit\u00e9 reposant sur une faiblesse de\nl\u0027analyseur XML, il est possible de tirer parti de cette faille depuis\nplusieurs composants faisant appel \u00e0 cet analyseur. La liste des\nsyst\u00e8mes et versions impact\u00e9s \u00e0 ainsi \u00e9t\u00e9 mise \u00e0 jour en cons\u00e9quence par\nl\u0027\u00e9diteur.  \nLe CERT-FR recommande de se reporter au bulletin de s\u00e9curit\u00e9 de\nl\u0027\u00e9diteur (cf. section Documentation) pour obtenir une liste des\ncomposants et des configurations vuln\u00e9rables.  \nDe plus, le premier correctif mis \u00e0 disposition par Cisco pour cette\nvuln\u00e9rabilit\u00e9 ne corrigeant que partiellement la faille, de nouvelles\nmises \u00e0 jour de s\u00e9curit\u00e9 sont disponibles pour les syst\u00e8mes concern\u00e9s.\n\nUne publication de blogue Cisco compl\u00e9tant les informations disponibles\nsur cette failles a \u00e9galement \u00e9t\u00e9 publi\u00e9e le 5 f\u00e9vrier 2018 (cf. section\nDocumentation).\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Cisco Adaptive Security Appliance",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-20180129-asa1 du 29 janvier 2018",
      "url": "https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.