Vulnérabilités dans CISCO ASA, FTD et SNOR3

Date de publication :

CVE-2021-34762[Score CVSS v3.1: 8,1]
Brandon Sakai, un spécialiste de l’informatique, a révélé la présence d’une vulnérabilité du type « traversée de répertoire (path traversal) ». Le problème est situé au niveau de l’interface de management Cisco FMC (Cisco Firepower Management Center). Il existe un manque de contrôle dans la validation des données entrées par l’utilisateur à propos de l’Url https.  Un attaquant distant et authentifié peut exploiter cette vulnérabilité, en utilisant une requête https malveillante, pour effectuer une traversée de répertoires dans l’appareil ciblé. Toutefois, l’attaquant doit au préalable détenir les codes d’accès de l’appareil ciblé. Si c’est le cas, lorsque la traversée de répertoire est effectuée, il pourrait avoir accès en lecture et écriture des fichiers. 
 

CVE-2021-34781[Score CVSS v3.1: 8,6]
L’équipe d’expertise de Cisco a dévoilé une vulnérabilité qui concerne le produit Cisco FTD (Firepower Threat Defense). Cette vulnérabilité se manifeste lors des erreurs pendant le processus de connexion SSH. En effet, il existe un manquede gestion des erreurs provoquées par des connexions SSH défectueuses.Un attaquant distant et non-authentifié pourrait profiter de ce manque de gestion pour envoyer un grand nombre de connexion SSH forgées dans le but d’épuiser les ressources de l’appareil ciblé. Cet épuisement des ressources résulte en un déni de service (DoS). Le succès de l’attaque oblige l’utilisateur à redémarrer l’appareil manuellement.              

 

CVE-2021-34783[Score CVSS v3.1: 8,6]
L’expert Sanmith Prakash a étudié une vulnérabilité de type « déni de service (DoS) » dans la gestion des messages SSL / TLS des logiciels ASA (Adapative Security Appliance) et FTD (Firepower Threat Defense). Le problème résulte d’un manque de contrôle des messages SSL / TLS lorsque le logiciel installé sur l’appareil effectue le processus de déchiffrement. Un attaquant distant et non-authentifié peut exploiter cette vulnérabilité en envoyant un message SSL / TLS forgé vers l’appareil ciblé, pour forcer un redémarrage de l’appareil. Point important : les datagrammes TLS (DTLS) ne peuvent pas être utilisés pour l’exploitation.

 

CVE-2021-34792[Score CVSS v3.1: 8,6]
Une vulnérabilité présente dans la gestion de la mémoire des logiciels ASA (Adapative Security Appliance) et FTD (Firepower Threat Defense) a été dévoilée par les experts de Cisco. Cette vulnérabilité est basée sur un manque de gestion de la mémoire lorsque le nombre de connexions est élevé. Un attaquant distant et non-authentifié pourrait profiter de cette vulnérabilité pour provoquer un déni de service (DoS) via une attaque massive de connexions, provoquant ainsi un redémarrage obligatoire de l’appareil.

 

CVE-2021-34793[Score CVSS v3.1: 8,6]
Le normalizerTCP (Cisco TCP Normalizer) des logiciels ASA (Adapative Security Appliance) et FTD (Firepower Threat Defense) fonctionne incorrectement lorsque celui-ci est en mode d’opération en transparence.  Plus précisément, ce « normalizer » effectue une gestion incorrecte de certains segments TCP. Un attaquant distant et non-authentifié pourrait exploiter cette gestion incorrecte en générant un empoisonnement des tables d’adresses MAC par l’envoi de segments TCP malveillants. Cet empoisonnement des tables résulte en une altération du bon fonctionnement du réseau.

 

CVE-2021-40116[Score CVSS v3.1: 8,6]
Les produits Cisco qui sont configurés avec Snort3 sont vulnérables. Cette vulnérabilité est générée par une gestion incorrecte des actions « Block with Reset » ou « Interactive Block with Reset » si une règle est mal appropriée. Un attaquant distant et non-authentifié pourrait provoquer un déni de service (DoS) en envoyant un paquet IP forgé vers l’appareil ciblé. Un succès de l’attaque engendre une compromission du réseau.

 

CVE-2021-40117[Score CVSS v3.1: 8,6]
L’expert Sanmith Prakash a étudié une vulnérabilité du type « déni de service (DoS) » située au niveau du processus de réception des messages SSL / TLS des logiciels ASA (Adapative Security Appliance) et FTD (Firepower Threat Defense). Une mauvaise gestion du processus de réception génère une vulnérabilité qu’un attaquant pourrait exploiter. En effet, un attaquant distant et non-authentifié pourrait envoyer des messages SSL / TLS forgés pour forcer l’appareil ciblé à redémarrer automatiquement.

 

CVE-2021-40118[Score CVSS v3.1: 8,6]
Les experts Ruslan Sayfiev, Denis Faiustov, et Masahiro Kawada de Ierae Security, en collaboration avec les experts de Cisco ont publié l’étude d’une vulnérabilité. Celle-ci est causée par un manque de contrôle dans l’entrée des données https au niveau de l’interface des services Web des logiciels ASA (Adapative Security Appliance) et FTD (Firepower Threat Defense).Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité, en envoyant des requêtes Https forgées, pour provoquer un déni de service (DoS). La réussite de l’attaque oblige l’appareil à redémarrer automatiquement.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Injection de commande
  • Exécution de code arbitraire
  • Accès non-autorisé
  • Lecture et écriture de fichiers sensibles
  • Déni de Service (DoS)
  • Empoissonnement tables adresses MAC
  • Compromission du réseau

Criticité

  • Score CVSS v3.1: 8.6 max

CVE

 

Composants vulnérables.
 

Concernant la vulnérabilité CVE-2021-34762 :

  • La configuration par défaut du produit Cisco FMC est vulnérable.
  • La version 6.2.2 et les versions antérieures.
  • La version 6.2.3 
  • La version 6.3.0
  • La version 6.4.0
  • La version 6.5.0
  • La version 6.6.0 
  • La version 6.7.0 
  • La version 7.0.0 

Concernant la vulnérabilité CVE-2021-34781 :

  • Cette vulnérabilité se trouve dans les appareils qui ont le produit Cisco FTD configuré pour une opération multi-instance. Cette configuration fut introduite à partir de la version 6.3.0. Les versions précédantes ne sont pas concernées. Les deux plateformes concernées par le support d’une opération multi-instance sont : Firepower 4100 Series Security Appliances et  Firepower 9300 Series Security Appliances.
     
  • La version 6.3.0
  • La version 6.4.0
  • La version 6.5.0
  • La version 6.6.0 
  • La version 6.7.0 
  • La version 7.0.0 

Concernant la vulnérabilité CVE-2021-34783:

Ci-dessous, les versions concernées si les appareils sont configurés pour les messages SSL / TLS. Dans ce cas, la vulnérabilité est active lorsque l’attaquant génère un message SSL / TLS forgé vers l’appareil.

Logiciel ASA

  • Version 9.16.1
  • Version 9.16.1.28

Logiciel FTD

  • Version 7.0.0
  • Version 7.0.01

Ci-dessous, cela concerne les versions avec un appareil configuré avec une politique de déchiffrement SSL.  Ces versions sont vulnérables aux messages SSL / TLS forgés qui passe par l’appareil.

Logiciel FTD

  • Version 6.3.0 et les versions ultérieures mais avant le premier correctif.

Concernant la vulnérabilité CVE-2021-34792 :

Logiciel ASA

  • Version 9.14
  • Version 9.15
  • Version 9.16

Logiciel FTD

  • Version 6.6.0
  • Version 6.7.0
  • Version 7.0.0

Concernant la vulnérabilité CVE-2021-34793:

Les produits Cisco ayant les logiciels ASA ou FTD avec un pare-feu configuré en mode transparent sont concernés.

Logiciel ASA

  • Version 9.7
  • Version 9.8
  • Version 9.9
  • Version 9.10
  • Version 9.12
  • Version 9.13
  • Version 9.14
  • Version 9.15
  • Version 9.16

Logiciel FTD

  • Version 6.2.2
  • Version 6.2.3
  • Version 6.3.0
  • Version 6.4.0
  • Version 6.5.0
  • Version 6.6.0
  • Version 6.7.0

Concernant la vulnérabilité CVE-2021-40116:

SNORT 3

  • Toutes les versions Open Source du projet Snort3 qui sont antérieures à la version 3.1.0.100.

Pour plus détails sur Snort3 et la, vulnérabilité : https://www.snort.org/

 

Produits Cisco avec Snort3

  • Les détails de la vulnérabilité des configurations des produits Cisco en relation avec Snort3 sont disponibles ici :

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snort-dos-RywH7ezM

Ci-dessous la liste des produits Cisco qui ne sont pas vulnérables :

  • Adaptive Security Appliance (ASA) Software
  • 1000 Series Integrated Services Routers (ISRs)
  • 4000 Series Integrated Services Routers (ISRs)
  • Catalyst 8000V Edge Software
  • Catalyst 8200 Series Edge Platforms
  • Catalyst 8300 Series Edge Platforms
  • Catalyst 8500 Series Edge Platforms
  • Catalyst 8500L Series Edge Platforms
  • Cloud Services Router 1000V Series
  • Firepower Management Center (FMC) Software
  • Integrated Services Virtual Router (ISRv)
  • Meraki Security Appliances

Concernant la vulnérabilité CVE-2021-40117 :

Logiciel ASA

  • Version 9.7 et les versions antérieures.
  • Version 9.8
  • Version 9.9
  • Version 9.10
  • Version 9.12
  • Version 9.13
  • Version 9.14
  • Version 9.15

Logiciel FTD

  • Version 6.2.2 et les versions antérieures.
  • Version 6.2.3
  • Version 6.3.0
  • Version 6.4.0
  • Version 6.5.0
  • Version 6.6.0
  • Version 6.7.0

Concernant la vulnérabilité CVE-2021-40118:

Logiciel ASA

  • Version 9.15
  • Version 9.16

Logiciel FTD

  • Version 6.7.0
  • Version 7.0.0

Solutions ou recommandations

Concernant la vulnérabilité CVE-2021-34762 :

  • Pour la version 6.2.2 et les versions antérieures, migrer vers une version corrigée.
  • Pour la version 6.2.3, migrer vers une version corrigée.
  • Pour la version 6.3.0, migrer vers une version corrigée.
  • Pour la version 6.4.0, effectuer la mise à jour 6.4.0.13
  • Pour la version 6.5.0, migrer vers une version corrigée.
  • Pour la version 6.6.0, effectuer la mise à jour 6.6.5.1
  • Pour la version 6.7.0, effectuer la mise à jour 6.7.0.3
  • Pour la version 7.0.0, effectuer la mise à jour 7.0.1

Certaines versions sont en fin de vie, une migration est recommandée. Pour plus d’information sur le processus de migration et les droits :
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-dir-traversal-95UyW5tk

 

Concernant la vulnérabilité CVE-2021-34781 :

  • Pour la version 6.3.0, migrer vers une version corrigée.
  • Pour la version 6.4.0, effectuer la mise à jour 6.4.0.13
  • Pour la version 6.5.0, migrer vers une version corrigée.
  • Pour la version 6.6.0, effectuer la mise à jour 6.6.5.1
  • Pour la version 6.7.0, effectuer la mise à jour 6.7.0.3
  • Pour la version 7.0.0, effectuer la mise à jour 7.0.1

Il n’existe aucune solution de contournement, cependant une solution existe pour mitiger le danger de cette vulnérabilité : un administrateur peut imposer une configuration qui limite les connexions SSH du produit Cisco FTD.

Certaines versions sont en fin de vie, une migration est recommandée. Pour plus d’information sur le processus de migration et les droits : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-dos-rUDseW3r

 

Concernant la vulnérabilité CVE-2021-34783:

Logiciel ASA

  • Pour la version 9.16, effectuer la mise à jour 9.16.2.3

Logiciel ASA

  • Pour la version 6.3.0, migrer vers une version corrigée.
  • Pour la version 6.4.0, effectuer la mise à jour 6.4.0.13
  • Pour la version 6.5.0, migrer vers une version corrigée.
  • Pour la version 6.6.0, effectuer la mise à jour 6.6.5.1
  • Pour la version 6.7.0, effectuer la mise à jour 6.7.0.3
  • Pour la version 7.0.0, effectuer la mise à jour 7.0.1

Certaines versions sont en fin de vie, une migration est recommandée. Pour plus d’information sur le processus de migration et les droits :

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-tls-decrypt-dos-BMxYjm8M

 

Concernant la vulnérabilité CVE-2021-34792 :

Logiciel ASA

  • Pour la version 9.14, effectuer la mise à jour 9.14.3.9
  • Pour la Version 9.15, effectuer la mise à jour 9.15.1.17
  • Pour la Version 9.16, effectuer la mise à jour 9.16.2.3

Logiciel FTD

  • Pour la Version 6.6.0, effectuer la mise à jour 6.6.5.1
  • Pour la Version 6.7.0, effectuer la mise à jour 6.7.0.3
  • Pour la Version 7.0.0, effectuer la mise à jour 7.0.1

Certaines versions sont en fin de vie, une migration est recommandée. Pour plus d’information sur le processus de migration et les droits : 

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-dos-Unk689XY

 

Concernant la vulnérabilité CVE-2021-34793:

Logiciel ASA

  • Pour la version 9.7, migrer vers une version corrigée.
  • Pour la version 9.8, effectuer la mise à jour 9.8.4.40
  • Pour la version 9.9, migrer vers une version corrigée.
  • Pour la version 9.10, migrer vers une version corrigée.
  • Pour la version 9.12, effectuer la mise à jour 9.12.4.29
  • Pour la version 9.13, migrer vers une version corrigée.
  • Pour la version 9.14, effectuer la mise à jour 9.14.3.9
  • Pour la version 9.15, effectuer la mise à jour 9.15.1.17
  • Pour la version 9.16, effectuer la mise à jour 9.16.2.3

Logiciel FTD

  • Pour la version 6.2.2, migrer vers une version corrigée.
  • Pour la version 6.2.3, migrer vers une version corrigée.
  • Pour la version 6.3.0, migrer vers une version corrigée.
  • Pour la version 6.4.0, effectuer la mise à jour 6.4.0.13
  • Pour la version 6.5.0, migrer vers une version corrigée.
  • Pour la version 6.6.0, effectuer la mise à jour 6.6.5.1
  • Pour la version 6.7.0, effectuer la mise à jour 6.7.0.3
  • Pour la version 7.0.0, celle-ci n’est pas vulnérable mais une mise à jour existe : 7.0.1

 

Certaines versions sont en fin de vie, une migration est recommandée. Pour plus d’information sur le processus de migration et les droits : 

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-dos-JxYWMJyL

 

Concernant la vulnérabilité CVE-2021-40116:

Snort3

  • Effectuer la mise à jour 3.1.0.100

Produits Cisco avec Snort3

  • Les détails de la vulnérabilité des configurations des produits Cisco en relation avec Snort3 sont disponibles ici :

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-snort-dos-RywH7ezM

  • Pour la version 7.0.0 du logiciel FTD de Cisco, effectuer la mise à jour 7.0.1

Concernant la vulnérabilité CVE-2021-40117 :

Logiciel ASA

  • Pour la version 9.7, migrer vers une version corrigée.
  • Pour la version 9.8, effectuer la mise à jour 9.8.4.40
  • Pour la version 9.9, migrer vers une version corrigée.
  • Pour la version 9.10, migrer vers une version corrigée.
  • Pour la version 9.12, effectuer la mise à jour 9.12.4.29
  • Pour la version 9.13, migrer vers une version corrigée.
  • Pour la version 9.14, effectuer la mise à jour 9.14.3.9
  • Pour la version 9.15, effectuer la mise à jour 9.15.1.17

Logiciel FTD

  • Pour la version 6.2.2, migrer vers une version corrigée.
  • Pour la version 6.2.3, migrer vers une version corrigée.
  • Pour la version 6.3.0, migrer vers une version corrigée.
  • Pour la version 6.4.0, effectuer la mise à jour 6.4.0.13
  • Pour la version 6.5.0, migrer vers une version corrigée.
  • Pour la version 6.6.0, effectuer la mise à jour 6.6.5.1
  • Pour la version 6.7.0, effectuer la mise à jour 6.7.0.3

Certaines versions sont en fin de vie, une migration est recommandée. Pour plus d’information sur le processus de migration et les droits : 

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-dos-4ygzLKU9

 

Concernant la vulnérabilitéCVE-2021-40118:

Logiciel ASA

  • Pour la version 9.15, effectuer la mise à jour 9.15.1.17
  • Pour la version 9.16, effectuer la mise à jour 9.16.2.3

Logiciel FTD

  • Pour la version 6.7.0, effectuer la mise à jour 6.7.0.3
  • Pour la version 7.0.0, effectuer la mise à jour 7.0.1

Certaines versions sont en fin de vie, une migration est recommandée. Pour plus d’information sur le processus de migration et les droits : 

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asafdt-webvpn-dos-KSqJAKPA

 

 

 

Liens